**OpenAI**は、3月31日にmacOSアプリの署名に使用していた**GitHub Actions**ワークフローが、悪意のある**Axios**ライブラリのダウンロードにつながったと明らかにしました。同社は、「最大限の注意を払い、当社のmacOSアプリケーションが正規の**OpenAI**アプリであることを証明するプロセスを保護するための措置を講じています。**OpenAI**ユーザーデータがアクセスされた証拠、当社のシステムまたは知的財産が侵害された証拠、または当社のソフトウェアが改変された証拠は見つかっていません。」と述べています。 この開示は、**Google Threat Intelligence Group (GTIG)**による、**npm**パッケージ**Axios**のサプライチェーン侵害が北朝鮮のハッキンググループ**UNC1069**に関連しているという帰属に続くものです。 ### Axios侵害の詳細 この攻撃は、パッケージメンテナーの**npm**アカウントを乗っ取り、2つの不正なバージョン、1.14.1と0.30.4をプッシュするというものでした。これらのバージョンには、「plain-crypto-js」という悪意のある依存関係が含まれており、Windows、macOS、Linuxシステムを標的とするクロスプラットフォームのバックドアであるWAVESHAPER.V2を展開しました。 **OpenAI**は、macOSアプリ署名プロセスの一部である**GitHub Actions**ワークフローが、**Axios**バージョン1.14.1をダウンロードして実行したことを確認しました。このワークフローは、ChatGPT Desktop、Codex、Codex CLI、およびAtlasの署名に使用される証明書と公証資料にアクセスできました。 「インシデントの分析の結果、ワークフローに存在する署名証明書は、ペイロード実行のタイミング、ジョブへの証明書注入、ジョブ自体のシーケンス、およびその他の緩和要因により、悪意のあるペイロードによって正常に流出されなかった可能性が高いと結論付けました」と同社は述べています。 ### 証明書の失効と影響 データ流出の証拠は見つかっていないものの、**OpenAI**は証明書が侵害されたとみなし、失効およびローテーションを行っています。その結果、すべてのmacOSデスクトップアプリの古いバージョンは、2026年5月8日以降、アップデートやサポートを受けられなくなります。以前の証明書で署名されたアプリは、macOSのセキュリティ保護によってデフォルトでブロックされ、ダウンロードや起動ができなくなります。 更新された証明書で署名された最も古いリリースは以下の通りです。 * ChatGPT Desktop - 1.2026.071 * Codex App - 26.406.40811 * Codex CLI - 0.119.0 * Atlas - 1.2026.84.2 **OpenAI**はまた、**Apple**と協力して、以前の証明書で署名されたソフトウェアが新たに公証されないようにしています。2026年5月8日までの30日間の猶予期間は、ユーザーへの影響を最小限に抑え、アップデートのための十分な時間を確保することを目的としています。 **OpenAI**は、「証明書が悪意のあるアクターによって正常に侵害された場合、それを使用して独自のコードに署名し、正規の**OpenAI**ソフトウェアのように見せかけることができたでしょう。古い証明書を使用した新しいソフトウェアの公証を停止したため、不正な第三者によって古い証明書で署名された新しいソフトウェアは、ユーザーが明示的にバイパスしない限り、macOSのセキュリティ保護によってデフォルトでブロックされます。」と述べています。 ### 3月に発生した2件のサプライチェーン攻撃 **Axios**の侵害は、3月にオープンソースエコシステムを標的とした2件の主要なサプライチェーン攻撃のうちの1つでした。もう1つのインシデントは、**Aqua Security**がメンテナンスしている脆弱性スキャナーである**Trivy**を標的とし、5つのエコシステムに連鎖的な影響を与え、それに依存する多数の人気ライブラリに影響を与えました。 サイバー犯罪グループ**TeamPCP**（別名UNC6780）に帰属されたこの攻撃は、開発者環境から機密データを抽出するために、SANDCLOCKという名前の認証情報窃盗犯を展開しました。盗まれた認証情報は、**npm**パッケージを侵害し、CanisterWormという自己増殖型ワームをプッシュするために使用されました。 数日後、**Trivy**の侵入から盗まれたシークレットが、**Checkmarx**がメンテナンスする2つの**GitHub Actions**ワークフローに同じマルウェアを注入するために使用されました。攻撃者はその後、Python Package Index（PyPI）に**LiteLLM**と**Telnyx**の悪意のあるバージョンを公開しました。これらの両方とも、CI/CDパイプラインで**Trivy**を使用しています。 **Trend Micro**は、攻撃の分析で、「**Telnyx**の侵害は、**TeamPCP**のサプライチェーン活動で使用される手法の継続的な変化を示しており、ツール、配信方法、およびプラットフォームカバレッジの調整が行われています」と指摘しています。 「わずか8日間で、攻撃者はセキュリティスキャナー、AIインフラストラクチャ、そして現在は通信ツールへとピボットし、配信をインラインBase64から.pth自動実行へと進化させ、最終的には分割ファイルWAVステガノグラフィーへと進化させ、同時にLinuxのみからWindows永続性を持つデュアルプラットフォームターゲティングへと拡大しました。」 Windowsシステムでは、このハッキングにより「msbuild.exe」という名前の実行可能ファイルが展開され、検出を回避するために難読化技術を採用し、バイナリ内のPNG画像からDonutLoader（シェルコードローダー）を抽出し、完全機能のトロイの木馬と、オープンソースのコマンド・アンド・コントロール（C2）フレームワークであるAdaptixC2に関連付けられたビーコンをロードしました。 現在**CVE-2026-33634**として特定されているこのキャンペーンの追加分析は、さまざまなサイバーセキュリティベンダーによって公開されています。 * [**CrowdStrike**](https://www.crowdstrike.com/en-us/blog/from-scanner-to-stealer-inside-the-trivy-action-supply-chain-compromise/) * [FUTURESEARCH](https://futuresearch.ai/blog/no-prompt-injection-required/) * [Hexastrike](https://hexastrike.com/resources/blog/threat-intelligence/ringing-in-chaos-how-teampcp-weaponized-the-telnyx-python-sdk/) * [Kudelski Security](https://kudelskisecurity.com/research/investigating-two-variants-of-the-trivy-supply-chain-compromise) * [**Microsoft**](https://www.microsoft.com/en-us/security/blog/2026/03/24/detecting-investigating-defending-against-trivy-supply-chain-compromise/) * [OpenSourceMalware](https://opensourcemalware.com/blog/teampcp-supply-chain-campaign) * [Palo Alto Networks Unit 42](https://unit42.paloaltonetworks.com/teampcp-supply-chain-attacks/) * [ReversingLabs](https://www.reversinglabs.com/blog/teampcp-supply-chain-attack-spreads) * [SOCRadar](https://socradar.io/blog/teampcp-checkmarx-github-actions-attack/) * [Sonatype](https://www.sonatype.com/blog/compromised-litellm-pypi-package-delivers-multi-stage-credential-stealer) * [StepSecurity](https://www.stepsecurity.io/blog/litellm-credential-stealer-hidden-in-pypi-wheel) * [Snyk](https://snyk.io/blog/poisoned-security-scanner-backdooring-litellm/) * [Trend Micro](https://www.trendmicro.com/en_us/research/26/c/inside-litellm-supply-chain-compromise.html) * [TRUESEC](https://www.truesec.com/hub/blog/malicious-pypi-package-litellm-supply-chain-compromise) * [Wiz](https://www.wiz.io/blog/threes-a-crowd-teampcp-trojanizes-litellm-in-continuation-of-campaign) **TeamPCP**のサプライチェーン侵害の猛威は終息したかもしれませんが、同グループはその後、Vect、LAPSUS$、ShinyHuntersなどの他の金銭目的のグループと提携して、既存の認証情報ハーベストの収益化に焦点を移しています。脅威アクターは、CipherForceという名前で独自のランサムウェア事業も開始したことを示す証拠があります。