✨︎ Resumen (TL;DR):
- OpenAI revocó los certificados de sus aplicaciones para macOS tras un ataque a la cadena de suministro en la librería Axios.
- Hackers norcoreanos inyectaron el troyano de acceso remoto “plain-crypto-js” en versiones que estuvieron activas por tres horas.
- Las aplicaciones antiguas dejarán de funcionar el 8 de mayo, por lo que la actualización es inmediata y obligatoria.
OpenAI exige a todos sus usuarios de macOS actualizar sus aplicaciones de escritorio de inmediato. Esta medida responde a un ataque norcoreano a la cadena de suministro que comprometió la popular librería de JavaScript Axios y alcanzó los sistemas de firma de código de la empresa, provocando una revocación total de certificados que entrará en vigor el próximo 8 de mayo.
El incidente comenzó el 31 de marzo, cuando ciberdelincuentes vulneraron la cuenta npm de Jason Saayman, desarrollador principal de Axios. Mediante ingeniería social, reuniones falsas y la instalación de software malicioso, los atacantes obtuvieron acceso remoto a su computadora.
Con las credenciales en su poder, los hackers publicaron dos versiones infectadas de Axios (1.14.1 y 0.30.4). Estas actualizaciones incluían una dependencia fantasma llamada “plain-crypto-js”, la cual escondía un troyano de acceso remoto multiplataforma.
Aunque el código malicioso solo estuvo en línea unas tres horas, Axios registra más de 100 millones de descargas semanales y opera en cerca del 80 por ciento de los entornos en la nube, según estimaciones de Wiz citadas por Axios Media. Google rastreó este ataque hasta el grupo norcoreano UNC1069, activo desde 2018, mientras que Microsoft lo identificó como Sapphire Sleet.
OpenAI confirmó el 12 de abril que su flujo de trabajo en GitHub Actions, utilizado para firmar aplicaciones de macOS como ChatGPT Desktop, Codex, Codex CLI y Atlas, descargó la versión infectada 1.14.1 durante esa ventana de tiempo.
La empresa aclaró que no encontró evidencia de robo de datos. Sin embargo, debido a que el sistema tenía acceso a los certificados, asumieron las credenciales como comprometidas. Actualmente trabajan con Apple para bloquear la notarización futura con el certificado antiguo.
El alarmante repunte del malware open source
El ataque a Axios coincide con una ola de vulnerabilidades en código abierto documentada por el reporte Q1 2026 Open Source Malware Index de Sonatype, publicado hoy:
- Velocidad de infección: Se detectaron 21,764 paquetes maliciosos en el primer trimestre.
- Frecuencia: Esto equivale a una nueva amenaza registrada cada seis minutos.
- Acumulado histórico: Desde 2017, la cifra total alcanza casi los 1.35 millones de paquetes afectados.
“Los mayores ataques de código abierto en el primer trimestre no ganaron por ser novedosos”, advirtió Sonatype, señalando que los atacantes tuvieron éxito al explotar paquetes, rutas de lanzamiento y flujos de trabajo de desarrolladores de total confianza.
El registro npm concentró el 75 por ciento de las nuevas amenazas maliciosas. La caída de un desarrollador principal subraya la fragilidad de la cadena de suministro de software global, donde vulnerar un solo punto de acceso permite infiltrarse en la infraestructura de las empresas tecnológicas más blindadas del mercado.
