**OpenAI** reveló que un flujo de trabajo de **GitHub Actions** utilizado para firmar sus aplicaciones de macOS provocó la descarga de la librería maliciosa **Axios** el 31 de marzo. La compañía declaró: "Por precaución, estamos tomando medidas para proteger el proceso que certifica que nuestras aplicaciones de macOS son aplicaciones legítimas de **OpenAI**. No encontramos evidencia de que se haya accedido a datos de usuarios de **OpenAI**, que nuestros sistemas o propiedad intelectual se vieran comprometidos, o que nuestro software fuera alterado." Esta divulgación sigue a una atribución del **Google Threat Intelligence Group (GTIG)**, que vincula el compromiso de la cadena de suministro del paquete **npm** **Axios** con el grupo de hackers norcoreano **UNC1069**. ### Detalles del Compromiso de Axios El ataque implicó el secuestro de la cuenta **npm** del mantenedor del paquete para publicar dos versiones envenenadas, 1.14.1 y 0.30.4. Estas versiones contenían una dependencia maliciosa llamada "plain-crypto-js", que desplegó un backdoor multiplataforma llamado WAVESHAPER.V2 dirigido a sistemas Windows, macOS y Linux. **OpenAI** confirmó que su flujo de trabajo de **GitHub Actions**, parte de su proceso de firma de aplicaciones de macOS, descargó y ejecutó la versión 1.14.1 de **Axios**. Este flujo de trabajo tenía acceso a un certificado y material de notarización utilizado para firmar ChatGPT Desktop, Codex, Codex CLI y Atlas. "Nuestro análisis del incidente concluyó que el certificado de firma presente en este flujo de trabajo probablemente no fue exfiltrado con éxito por el payload malicioso debido al momento de la ejecución del payload, la inyección del certificado en el trabajo, la secuencia del propio trabajo y otros factores mitigantes", dijo la compañía. ### Revocación de Certificados e Impacto A pesar de no encontrar evidencia de exfiltración de datos, **OpenAI** está tratando el certificado como comprometido, revocándolo y rotándolo. Como resultado, las versiones anteriores de todas sus aplicaciones de escritorio para macOS ya no recibirán actualizaciones ni soporte a partir del 8 de mayo de 2026. Las aplicaciones firmadas con el certificado anterior serán bloqueadas por defecto por las protecciones de seguridad de macOS, impidiendo su descarga o lanzamiento. Las versiones más tempranas firmadas con su certificado actualizado son: * ChatGPT Desktop - 1.2026.071 * Codex App - 26.406.40811 * Codex CLI - 0.119.0 * Atlas - 1.2026.84.2 **OpenAI** también está colaborando con **Apple** para asegurar que el software firmado con el certificado anterior no pueda ser recién notariado. La ventana de 30 días hasta el 8 de mayo de 2026 está destinada a minimizar la interrupción para los usuarios y permitir tiempo suficiente para las actualizaciones. **OpenAI** declaró: "En caso de que el certificado haya sido comprometido con éxito por un actor malicioso, podrían usarlo para firmar su propio código, haciéndolo parecer software legítimo de **OpenAI**. Hemos detenido las nuevas notarizaciones de software utilizando el certificado antiguo, por lo que el nuevo software firmado con el certificado antiguo por un tercero no autorizado sería bloqueado por defecto por las protecciones de seguridad de macOS a menos que un usuario las omita explícitamente." ### Dos Ataques a la Cadena de Suministro Sacuden Marzo La brecha de **Axios** fue uno de los dos principales ataques a la cadena de suministro en marzo dirigidos al ecosistema de código abierto. El otro incidente tuvo como objetivo **Trivy**, un escáner de vulnerabilidades mantenido por **Aqua Security**, lo que resultó en impactos en cascada en cinco ecosistemas, afectando a numerosas librerías populares que dependían de él. El ataque, atribuido al grupo de cibercriminales **TeamPCP** (también conocido como UNC6780), desplegó un ladrón de credenciales llamado SANDCLOCK para extraer datos sensibles de entornos de desarrolladores. Las credenciales robadas se utilizaron luego para comprometer paquetes **npm** y publicar un gusano auto-propagable llamado CanisterWorm. Días después, secretos extraídos de la intrusión de **Trivy** se utilizaron para inyectar el mismo malware en dos flujos de trabajo de **GitHub Actions** mantenidos por **Checkmarx**. Los atacantes publicaron entonces versiones maliciosas de **LiteLLM** y **Telnyx** en el Python Package Index (PyPI), ambos utilizan **Trivy** en su pipeline de CI/CD. **Trend Micro** señaló: "El compromiso de **Telnyx** indica un cambio continuo en las técnicas utilizadas en la actividad de la cadena de suministro de **TeamPCP**, con ajustes en las herramientas, métodos de entrega y cobertura de plataforma", en un análisis del ataque. "En solo ocho días, el actor ha pivotado entre escáneres de seguridad, infraestructura de IA y ahora herramientas de telecomunicaciones, evolucionando su entrega de Base64 en línea a auto-ejecución .pth, y finalmente a esteganografía WAV de archivo dividido, al mismo tiempo que se expande de solo Linux a targeting multiplataforma con persistencia en Windows." En sistemas Windows, el hack resultó en el despliegue de un ejecutable llamado "msbuild.exe" que emplea técnicas de ofuscación para evadir la detección y extrae DonutLoader, un cargador de shellcode, de una imagen PNG dentro del binario para cargar un troyano completo y un beacon asociado con AdaptixC2, un framework de comando y control (C2) de código abierto. Análisis adicionales de la campaña, ahora identificada como **CVE-2026-33634**, han sido publicados por varios proveedores de ciberseguridad: * [**CrowdStrike**](https://www.crowdstrike.com/en-us/blog/from-scanner-to-stealer-inside-the-trivy-action-supply-chain-compromise/) * [FUTURESEARCH](https://futuresearch.ai/blog/no-prompt-injection-required/) * [Hexastrike](https://hexastrike.com/resources/blog/threat-intelligence/ringing-in-chaos-how-teampcp-weaponized-the-telnyx-python-sdk/) * [Kudelski Security](https://kudelskisecurity.com/research/investigating-two-variants-of-the-trivy-supply-chain-compromise) * [**Microsoft**](https://www.microsoft.com/en-us/security/blog/2026/03/24/detecting-investigating-defending-against-trivy-supply-chain-compromise/) * [OpenSourceMalware](https://opensourcemalware.com/blog/teampcp-supply-chain-campaign) * [Palo Alto Networks Unit 42](https://unit42.paloaltonetworks.com/teampcp-supply-chain-attacks/) * [ReversingLabs](https://www.reversinglabs.com/blog/teampcp-supply-chain-attack-spreads) * [SOCRadar](https://socradar.io/blog/teampcp-checkmarx-github-actions-attack/) * [Sonatype](https://www.sonatype.com/blog/compromised-litellm-pypi-package-delivers-multi-stage-credential-stealer) * [StepSecurity](https://www.stepsecurity.io/blog/litellm-credential-stealer-hidden-in-pypi-wheel) * [Snyk](https://snyk.io/blog/poisoned-security-scanner-backdooring-litellm/) * [Trend Micro](https://www.trendmicro.com/en_us/research/26/c/inside-litellm-supply-chain-compromise.html) * [TRUESEC](https://www.truesec.com/hub/blog/malicious-pypi-package-litellm-supply-chain-compromise) * [Wiz](https://www.wiz.io/blog/threes-a-crowd-teampcp-trojanizes-litellm-in-continuation-of-campaign) La racha de compromisos en la cadena de suministro de **TeamPCP** puede haber concluido, pero el grupo ha cambiado su enfoque hacia la monetización de las cosechas de credenciales existentes al asociarse con otros grupos con motivaciones financieras como Vect, LAPSUS$ y ShinyHunters. La evidencia indica que el actor de amenazas también ha lanzado una operación de ransomware propietaria bajo el nombre CipherForce.