OpenAI Renova Certificados macOS Após Ataque à Cadeia de Fornecimento Axios

Iris Coleman 15 de abr. de 2026 02:02

OpenAI responde ao comprometimento npm do Axios ligado à Coreia do Norte renovando certificados de assinatura de código. Utilizadores de macOS devem atualizar as aplicações ChatGPT e Codex até 8 de maio.

OpenAI Renova Certificados macOS Após Ataque à Cadeia de Fornecimento Axios

A OpenAI está a forçar todos os utilizadores de macOS a atualizar as suas aplicações de desktop depois de o fluxo de trabalho de assinatura de aplicações da empresa ter sido exposto ao ataque à cadeia de fornecimento Axios—um comprometimento atribuído a agentes de ameaça norte-coreanos que atingiu a popular biblioteca JavaScript a 31 de março de 2026.

A gigante de IA diz que não encontrou evidências de que os dados dos utilizadores tenham sido acedidos ou que o seu software tenha sido alvo de manipulação maliciosa. Mas a empresa não está a arriscar: está a tratar o seu certificado de assinatura de código macOS como comprometido e a revogá-lo totalmente a 8 de maio de 2026.

O Que Aconteceu Realmente

Quando a versão comprometida do Axios 1.14.1 chegou ao npm a 31 de março, um fluxo de trabalho GitHub Actions que a OpenAI usa para assinatura de aplicações macOS descarregou e executou o código malicioso. Esse fluxo de trabalho tinha acesso aos certificados usados para assinar ChatGPT Desktop, Codex, Codex CLI e Atlas—as credenciais que dizem ao macOS "sim, este software vem realmente da OpenAI."

A causa raiz? Uma configuração incorreta. O fluxo de trabalho da OpenAI referenciava o Axios usando uma etiqueta flutuante em vez de um hash de commit fixo, e não tinha um minimumReleaseAge configurado para novos pacotes. Vulnerabilidade clássica da cadeia de fornecimento.

A análise interna da OpenAI sugere que o certificado de assinatura provavelmente não foi exfiltrado com sucesso devido ao tempo e sequência de execução. Mas "provavelmente" não é suficiente quando se está a assinar software que é executado em milhões de máquinas.

O Ataque Mais Amplo

O comprometimento do Axios não estava a visar especificamente a OpenAI. Investigadores de segurança, incluindo a equipa de inteligência de ameaças da Google, ligaram o ataque a um agente com nexo na Coreia do Norte—possivelmente Sapphire Sleet ou UNC1069. Os atacantes comprometeram a conta de um mantenedor npm e injetaram uma dependência maliciosa chamada 'plain-crypto-js' que implementou um RAT multiplataforma capaz de reconhecimento, persistência e autodestruição para evitar deteção.

O ataque atingiu organizações em serviços empresariais, serviços financeiros e setores tecnológicos globalmente.

O Que os Utilizadores Precisam de Fazer

Se executar qualquer aplicação macOS da OpenAI, atualize agora. Após 8 de maio, as versões antigas deixarão de funcionar completamente. Versões mínimas necessárias:

ChatGPT Desktop: 1.2026.051
Codex App: 26.406.40811
Codex CLI: 0.119.0
Atlas: 1.2026.84.2

Descarregue apenas de fontes oficiais verificadas da MEXC ou através de atualizações na aplicação. A OpenAI avisa explicitamente contra a instalação de qualquer coisa proveniente de e-mails, anúncios ou sites de terceiros—um conselho sensato dado que um agente malicioso com o certificado antigo poderia teoricamente assinar aplicações falsas que parecem legítimas.

Os utilizadores de Windows, iOS, Android e Linux não são afetados. Nem as versões web. As palavras-passe e chaves API permanecem seguras.

Porquê a Janela de 30 Dias?

A OpenAI poderia revogar o certificado imediatamente, mas optou por não o fazer. A nova notarização com o certificado comprometido já está bloqueada, o que significa que qualquer aplicação fraudulenta assinada com ele falharia as verificações de segurança predefinidas do macOS, a menos que os utilizadores as substituam manualmente.

O atraso dá aos utilizadores tempo para atualizar através de canais normais em vez de acordarem com software avariado. A OpenAI diz que está a monitorar qualquer sinal de uso indevido do certificado e acelerará a revogação se atividade maliciosa aparecer.

O incidente sublinha como os ataques à cadeia de fornecimento continuam a propagar-se através do ecossistema de software. Um pacote npm comprometido e, de repente, a OpenAI está a renovar certificados em toda a sua linha de produtos macOS. Para programadores, a lição é clara: fixem as vossas dependências a commits específicos, não a etiquetas flutuantes.

Fonte da imagem: Shutterstock