13.04.2026
1 хв
154
OpenAI відкликала сертифікат підпису для своїх macOS-додатків після інциденту з компрометацією сторонньої бібліотеки Axios. Компанія заявила, що не виявила витоку даних або злому систем, але вирішила діяти на випередження, щоб виключити будь-які ризики.
OpenAI повідомила про інцидент у процесі підписання своїх macOS-додатків. Компанія визнала, що один із робочих процесів GitHub Actions 31 березня автоматично завантажив і виконав заражену версію бібліотеки Axios. При цьому підкреслюється, що жодні дані користувачів, внутрішні системи чи програмне забезпечення не були скомпрометовані.
У заяві OpenAI пояснили, що вже вживають заходів, щоб захистити процес підписання застосунків і виключити будь-які ризики. Там також наголосили, що не знайшли доказів доступу до даних користувачів або втручання у свої продукти.
Інцидент стався на фоні масштабнішої атаки на ланцюг постачання. За даними Google Threat Intelligence Group, компрометація npm-пакета Axios пов’язана з північнокорейським угрупованням UNC1069. Зловмисники отримали доступ до облікового запису розробника і поширили заражені версії 1.14.1 та 0.30.4.
У цих версіях була шкідлива залежність “plain-crypto-js”, яка встановлювала бекдор WAVESHAPER.V2. Він працював на Windows, macOS і Linux, даючи змогу віддалено керувати системами.
OpenAI уточнила, що заражена версія Axios була використана в їхньому CI/CD-процесі підписання додатків. Цей процес мав доступ до сертифікатів і матеріалів нотаризації, які використовуються для підпису ChatGPT Desktop, Codex, Codex CLI та Atlas.
Попри це, внутрішній аналіз показав, що сертифікат, швидше за все, не був викрадений. Це пояснюється таймінгом виконання шкідливого коду, особливостями самої задачі та додатковими захисними механізмами.
Проте компанія вирішила не ризикувати і відкликала старий сертифікат, замінивши його новим. Усі macOS-додатки отримали оновлений підпис, а старі версії перестануть отримувати підтримку після 8 травня 2026 року.
Крім того, системи macOS автоматично блокуватимуть програми, підписані старим сертифікатом. Це означає, що навіть якщо хтось спробує використати його для підпису шкідливого ПЗ, воно не запуститься без ручного втручання користувача.
Останні версії додатків із новим сертифікатом такі:
ChatGPT Desktop — 1.2026.071
Codex — 26.406.40811
Codex CLI — 0.119.0
Atlas — 1.2026.84.2
OpenAI також співпрацює з Apple, щоб повністю заблокувати можливість повторного використання старого сертифіката. Компанія дала користувачам 30 днів на оновлення, щоб мінімізувати можливі незручності.
У OpenAI пояснюють, що в разі реальної компрометації сертифіката зловмисники могли б підписувати власні програми, видаючи їх за офіційні. Саме тому навіть потенційний ризик вирішили усунути повністю.
Цей випадок став частиною ширшої хвилі атак на open source-екосистему, яка охопила березень. Окрім Axios, ще один великий інцидент торкнувся інструмента Trivy. Його компрометація спричинила ланцюгову реакцію і вплинула на кілька екосистем одразу.
Атаку на Trivy пов’язують із групою TeamPCP. Вона використовувала крадіжку облікових даних через malware SANDCLOCK, а потім застосовувала ці дані для зараження npm-пакетів і поширення черв’яка CanisterWorm.
Пізніше ті ж викрадені секрети використали для атак на інші проєкти. Зокрема, зловмисники інтегрували шкідливий код у процеси GitHub Actions і поширили заражені версії LiteLLM та Telnyx через PyPI.
У випадку Telnyx атака призводила до запуску файлу msbuild.exe, який витягував додатковий код із зображення PNG і завантажував повноцінний троян із підтримкою AdaptixC2.
Загалом ця кампанія отримала ідентифікатор CVE-2026-33634 і вже привернула увагу багатьох компаній з кібербезпеки, включаючи Microsoft, CrowdStrike, Palo Alto Networks та інших.
Після активної фази атак група TeamPCP, за даними дослідників, перейшла до монетизації викрадених даних. Її пов’язують із такими угрупованнями, як LAPSUS$, ShinyHunters і Vect, а також із запуском власної ransomware-операції CipherForce.
Google попереджає, що наслідки таких атак можуть бути масштабними. Йдеться про потенційний витік сотень тисяч секретів, компрометацію SaaS-сервісів, атаки з вимаганням і навіть крадіжки криптовалюти.
Серед постраждалих від атак на Trivy називають стартап Mercor і навіть Європейську комісію. В одному з випадків зловмисники використали викрадені AWS-ключі для доступу до даних хостингу Europa.
Дослідження також показують, що сотні репозиторіїв виконували шкідливий код, а тисячі Python-пакетів могли автоматично підтягувати заражені версії залежностей.
Експерти прямо говорять, що головна проблема тут у довірі. Розробники звикли без перевірки використовувати залежності, і саме це стає точкою входу для атак.
Фахівці рекомендують змінювати підхід і переходити до жорсткої перевірки всіх компонентів. Серед базових кроків:
фіксувати версії пакетів через commit або digest
використовувати захищені Docker-образи
обмежувати права доступу і термін дії токенів
ізолювати середовища виконання
застосовувати двофакторну автентифікацію
CISA вже додала CVE-2026-33634 до списку активно експлуатованих вразливостей і зобов’язала федеральні органи США закрити проблему до 9 квітня. Як зазначають у Google, кількість атак на ланцюги постачання стрімко зростає, і компаніям варто вже зараз переглядати свої підходи до безпеки.
