✨︎ Resumen (TL;DR):
- OpenAI confirmó que un ciberataque a la librería Axios afectó la firma de certificados de sus aplicaciones de escritorio.
- El código malicioso estuvo activo 3 horas y apuntó a una librería que registra 100 millones de descargas a la semana.
- La compañía suspenderá el soporte para versiones antiguas de sus apps en MacOS el próximo 8 de mayo como medida preventiva.
OpenAI confirmó este viernes que un ataque a la cadena de suministro, perpetrado por hackers respaldados por el gobierno de Corea del Norte, vulneró el sistema que utiliza para firmar los certificados de sus aplicaciones en MacOS. La brecha ocurrió el 31 de marzo de 2026, cuando un flujo de trabajo de GitHub Actions descargó una actualización maliciosa de la popular librería JavaScript Axios. Esto permitió a los atacantes forjar certificados digitales, abriendo la puerta a la creación de aplicaciones falsas de OpenAI que el sistema operativo de Apple reconocería como legítimas.
La revelación surge casi dos semanas después de detectar el compromiso inicial en Axios. Las divisiones de seguridad de Google y Microsoft señalaron como responsables a grupos vinculados al estado norcoreano, conocidos bajo los identificadores UNC1069 y Sapphire Sleet.
El ataque comenzó cuando los piratas informáticos robaron las credenciales del mantenedor principal de la librería mediante ingeniería social. Usaron una reunión falsa de Microsoft Teams para instalar un troyano de acceso remoto (RAT) en su equipo.
Tras tomar el control, publicaron las versiones maliciosas 1.14.1 y 0.30.4, las cuales escondían una dependencia programada para ejecutar un ataque multiplataforma contra sistemas macOS, Windows y Linux durante las tres horas que el código estuvo en línea.
Según la firma de ciberseguridad Wiz, la herramienta Axios promedia 100 millones de descargas semanales y opera en el 80% de los entornos de nube y programación actuales. La empresa detectó las versiones alteradas en aproximadamente el 3% de los ecosistemas que monitorea.
Impacto directo en el software de OpenAI
OpenAI advirtió que los usuarios de su navegador GPT Atlas y la plataforma de código Codex para MacOS podrían estar en riesgo si descargaron o actualizaron el software mediante un certificado comprometido durante la ventana de exposición.
La empresa aclaró que el incidente no expuso datos de usuarios, propiedad intelectual ni sistemas internos. Como respuesta operativa, ejecutará estas acciones inmediatas:
- Suspenderá el soporte para versiones antiguas de sus aplicaciones en MacOS a partir del 8 de mayo.
- Emitirá alertas para que los usuarios actualicen sus sistemas a las versiones más recientes.
Este movimiento coincide con los reportes financieros de marzo sobre los planes de OpenAI para lanzar una “superapp” de escritorio, uniendo ChatGPT, Codex y Atlas en una sola interfaz.
El ataque a Axios forma parte de una ola de incidentes críticos en marzo de 2026. Otra campaña comprometió la herramienta Trivy y el paquete de Python LiteLLM, afectando a más de 1,000 entornos SaaS según Mandiant.
“Los hackers norcoreanos tienen una profunda experiencia con ataques a la cadena de suministro, que históricamente han utilizado para robar criptomonedas”, señaló John Hultquist, analista en jefe del Grupo de Inteligencia de Amenazas de Google. “La amplitud total de este incidente aún no está clara, pero dada la popularidad del paquete comprometido, esperamos que tenga impactos de gran alcance”.
