文章总结： OpenAI在macOS应用签名流程的GitHubActions工作流下载恶意axios库后，撤销并轮换macOS应用证书。尽管未发现数据泄露或系统入侵证据，但为预防风险，旧版应用自2026年5月8日起将无法更新或运行，需升级至用新证书签署的版本。 综合评分： 85 文章分类： 供应链安全,恶意软件,安全运营,漏洞预警,终端安全

OpenAI 在恶意 Axios 供应链事件后撤销了 macOS 应用证书

HackSee安全团队 HackSee安全团队

HackSee安全生活

2026年4月13日 16:44 北京

在小说阅读器读本章

去阅读

OpenAI披露了用于签署其macOS应用的GitHub Actions工作流程，该流程于3月31日下载了恶意的Axios库，但指出没有用户数据或内部系统被泄露。

OpenAI上周在一篇帖子中表示：“出于极大的谨慎，我们正在采取措施保护认证我们的macOS应用是否合法的流程。”“我们没有发现OpenAI用户数据被访问、我们的系统或知识产权被泄露或软件被篡改的证据。”

此次披露发布距离谷歌威胁情报组织（GTIG）将该受欢迎的NPM软件供应链泄露归咎于其追踪的朝鲜黑客组织所为仅一周多UNC1069。

该攻击使威胁行为者能够劫持包维护者的 npm 账户，推送两个带有恶意依赖“plain-crypto-js”的有毒版本 1.14.1 和 0.30.4，该版本部署了一个名为 WAVESHAPER 的跨平台后门。V2 会感染 Windows、macOS 和 Linux 系统。

这家人工智能公司表示，其作为macOS应用签名流程一部分的GitHub Actions工作流程下载并执行了Axios 1.14.1版本。该工作流程还能访问用于签署ChatGPT Desktop、Codex、Codex CLI和Atlas的证书和公证材料。

公司表示：“我们对事件的分析得出结论，由于有效载荷执行时机、证书注入作业、作业顺序及其他缓解因素，恶意有效载荷很可能未能成功泄露该工作流程中的签名证书。”

尽管未发现数据泄露证据，OpenAI表示已将该证书视为被泄露，并正在撤销并轮换。因此，所有旧版本的 macOS 桌面应用将从 2026 年 5 月 8 日起不再获得更新或支持。

这也意味着使用之前证书签署的应用默认会被 macOS 的安全保护屏蔽，阻止它们被下载或启动。最早签署的更新证书发布版本如下——

ChatGPT 桌面 – 1.2026.071

Codex 应用 – 26.406.40811

Codex CLI – 0.119.0

地图集 – 1.2026.84.2

作为补救措施的一部分，OpenAI还在与苹果合作，以确保用以前的证书签名的软件不会被新的公证。该公司指出，到2026年5月8日的30天窗口期是为了尽量减少对用户的干扰，并给用户足够的时间确保他们升级到最新版本。

OpenAI表示：“如果证书被恶意行为者成功破解，他们可以用它来签署自己的代码，使其看起来像合法的OpenAI软件。”“我们已经停止了使用旧证书的新软件公证，因此未经授权的第三方使用旧证书签名的新软件将默认被macOS安全保护阻止，除非用户明确绕过它们。”

3月，两起供应链攻击撼动了整个市场

Axios是使用最广泛的HTTP客户端库之一，这是3月份发生的针对开源生态系统的两起主要供应链攻击之一。另一起事件针对的是Aqua Security维护的漏洞扫描器Trivy，造成了跨五个生态系统的连锁影响，影响了其他一些依赖于它的流行库。

这次攻击是由一个名为TeamPCP（又名UNC6780）的网络犯罪组织发起的，他们部署了一个名为SANDCLOCK的凭证窃取程序，可以从开发人员环境中提取敏感数据。随后，威胁行为者将窃取的凭证武器化，以破坏npm包，并推送一种名为CanisterWorm的自我传播蠕虫。

几天后，黑客利用从Trivy入侵中窃取的秘密，将同样的恶意软件注入到Checkmarx维护的两个GitHub Actions工作流中。攻击者随后向Python包索引（PyPI）发布了litell&telnyx的恶意版本，这两个版本都在它们的CI/ cd管道中使用了Trivy。

trendmicro在对这次攻击的分析中说：“Telnyx的攻击表明了TeamPCP供应链活动中使用的技术的持续变化，包括工具、交付方法和平台覆盖范围的调整。”

“在短短8天内，该攻击者已经跨越了安全扫描器、人工智能基础设施和现在的电信工具，将它们的交付从内联Base64发展到.pth自动执行，并最终发展到分割文件WAV隐写，同时还从仅限linux扩展到双平台目标，并具有Windows持久性。”

在windows系统上，对Telnyx python SDK的攻击导致了一个名为“msbuild.exe”的可执行文件的部署，它使用了几种混淆技术来逃避检测，并从二进制文件中的PNG图像中提取了DonutLoader（一个shell代码加载器），以加载一个功能齐全的木马和一个与AdaptixC2（一个开源命令与控制（C2）框架）相关的信标。

各种网络安全供应商已经发布了对该活动的其他分析，现在确定为CVE-2026-33634

TeamPCP的供应链妥协事件可能已经结束，但该组织已经将其重点转向通过与Vect、LAPSUS$和ShinyHunters等其他有经济动机的组织合作，将现有的凭证收益货币化。有证据表明，该威胁行为者还以“密码力量”的名义发起了一个专有的勒索软件操作。

除此之外，TeamPCP还利用被盗数据访问云和软件即服务（SaaS）环境，这标志着该活动的新升级。为此，网络犯罪团伙被发现使用TruffleHog验证被盗凭证，在验证后24小时内启动发现操作，窃取更多数据，并试图横向移动以获得更广泛的网络访问权限。

Wiz的研究人员表示：“在供应链漏洞中窃取的凭证和机密被迅速验证，并被用于探索受害者环境和窃取额外数据。”“虽然它们被使用的速度表明，它们是负责供应链运营的同一威胁行为者所为，但我们不能排除这些秘密与其他组织共享并被他们使用的可能性。”

攻击通过依赖关系扩散

谷歌（google）警告称，由于Axios和Trivy的攻击，“成千上万的被盗机密”可能会在网上流传，这将在近期引发更多的软件供应链攻击、SaaS环境泄露、勒索软件和勒索事件，以及加密货币盗窃。

人工智能（AI）数据培训初创公司Mercor和欧盟委员会已经证实通过Trivy供应链攻击造成了危害。虽然该公司没有透露有关影响的细节，但LAPSUS$勒索组织在其泄漏网站上列出了Mercor，声称已经泄露了约4TB的数据。《连线》（WIRED）的一篇报道称，Mercor遭到入侵导致Meta暂停了与该公司的合作。

本月早些时候，CERT-EU透露，威胁行为者利用窃取的AWS机密从委员会的云环境中泄露数据。这包括与Europa网络托管服务的多达71个客户托管的网站和出站电子邮件通信有关的数据。此后，ShinyHunters组织在其暗网泄密网站上公开发布了被泄露的数据集。

GitGuardian对Trivy和LiteLLM供应链攻击及其通过依赖关系和自动化管道传播的分析发现，474个公共存储库执行了来自受感染的“琐碎行动”工作流的恶意代码，1750个Python包被配置成自动提取有毒版本的方式。

TeamPCP故意针对那些在设计上以提升权限运行的安全工具。美国联邦调查局（FBI）网络部门助理主任布雷特·莱瑟曼（Brett Leatherman）在领英（LinkedIn）上写道：“攻击者一旦破坏了它们，就可以进入组织中一些最敏感的环境，因为安全工具通常被设计为广泛的访问权限。”

供应链事件是危险的，因为它们针对的是开发人员在从开源存储库下载包和依赖项时所假定的固有信任。Docker首席信息安全官马克•莱希纳（Mark Lechner）表示：“信任被假定为应该得到验证的地方。”

“在这些事件中损失最小的组织已经开始在其堆栈的每一层用显式验证取代隐式信任：经过验证的基础映像而不是社区拉取，固定引用而不是可变标签，范围和短期凭证而不是长期令牌，沙箱执行环境而不是开放的ci运行器。”

Docker和Python包索引（PyPI）维护者都列出了一长串建议，开发人员可以实现这些建议来对抗此类攻击

通过摘要或提交SHA而不是可变标记来固定包。

使用Docker硬化映像（DHI）。

强制执行最低发布年龄设置，以延迟采用依赖项更新的新版本。

将每个CI运行器视为潜在的破坏点，并避免在GitHub Actions中触发pull_request_target，除非绝对必要。

使用短期的、范围狭窄的凭据。

使用内部镜像或工件代理。

部署金丝雀令牌以警告潜在的泄露企图。

针对硬编码机密的审计环境。

在沙盒环境中运行AI编码代理。

使用可信发布将包推送到npm和PyPI。

使用双因素身份验证（2FA）保护开源开发管道。

美国网络安全和基础设施安全局（CISA）也将CVE-2026-33634添加到其已知利用漏洞（KEV）目录中，要求联邦民事行政部门（FCEB）机构在2026年4月9日之前应用必要的缓解措施。

曼迪昂特咨询公司（Mandiant Consulting）首席技术官查尔斯•卡马卡尔（Charles Carmakal）表示：“最近发生的软件供应链攻击数量惊人。”“捍卫者”需要密切关注这些活动。企业应该启动专门的项目来评估现有的影响，进行补救，并加强对未来攻击的防范。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HackSee安全生活 HackSee安全团队 HackSee安全团队《OpenAI 在恶意 Axios 供应链事件后撤销了 macOS 应用证书》