OpenAI раскрыла детали инцидента, в рамках которого скомпрометированный npm‑пакет Axios был задействован в процессе подписи ее приложений для macOS через GitHub Actions. По заявлению компании, данные пользователей и внутренние системы не были скомпрометированы, однако сертификат подписи приложений рассматривается как потенциально утраченный и подлежит отзыву и ротации.
Как уязвимый Axios попал в цепочку поставок OpenAI
В конце марта Google Threat Intelligence Group (GTIG) связала компрометацию популярного HTTP‑клиента Axios с северокорейской группировкой UNC1069. Злоумышленникам удалось получить доступ к учетной записи мейнтейнера npm и опубликовать две вредоносные версии – 1.14.1 и 0.30.4.
В эти релизы была встроена поддельная зависимость plain-crypto-js, разворачивавшая кроссплатформенный бэкдор WAVESHAPER.V2. Эта вредоносная нагрузка нацеливалась на Windows, macOS и Linux, что делает инцидент типичным примером атаки на цепочку поставок ПО – когда атакуется не конечный продукт, а доверенные компоненты и зависимости.
OpenAI подтвердила, что один из GitHub Actions‑воркфлоу, используемый в процессе подписи macOS‑приложений, 31 марта загрузил и выполнил Axios версии 1.14.1. Этот пайплайн имел доступ к сертификату и материалам нотариального подтверждения, применяемым для подписи ChatGPT Desktop, Codex, Codex CLI и Atlas.
По результатам внутреннего анализа OpenAI считает, что частный ключ сертификата с высокой вероятностью не был эксфильтрован. На это повлияла последовательность шагов в job, момент инъекции сертификата и другие ограничивающие факторы. Тем не менее компания исходит из наихудшего сценария и обращается с сертификатом как с скомпрометированным.
Отзыв сертификата OpenAI для macOS: последствия для пользователей
OpenAI инициирует отзыв и ротацию сертификата подписи macOS‑приложений. Это означает, что старые версии десктопных клиентов компании утратят поддержку и возможность обновления, а с 8 мая 2026 года будут по умолчанию блокироваться механизмами защиты macOS при загрузке и запуске.
Совместно с Apple компания добивается того, чтобы ПО, подписанное старым сертификатом, более не могло получать новую нотификацию (notarization). В течение переходного 30‑дневного периода пользователям предлагается обновиться до версий, подписанных новым сертификатом, чтобы избежать перебоев в работе.
Риск в случае успешной компрометации сертификата очевиден: третьи лица могли бы подписывать вредоносный код так, будто это легитимное ПО OpenAI. Несмотря на то что новые нотификации со старым сертификатом заблокированы, остаётся человеческий фактор — пользователь всегда может вручную обойти предупреждения macOS.
Вторая дуга атаки: Trivy, TeamPCP и CVE‑2026‑33634
Инцидент с Axios стал лишь частью более широкой кампании против open source‑экосистемы. Параллельная атака была направлена на популярный сканер уязвимостей Trivy, поддерживаемый Aqua Security. За ней стоит киберпреступная группа TeamPCP (UNC6780).
В результате внедрения вредоносного кода в цепочку поставок Trivy злоумышленники развернули кражу учетных данных SANDCLOCK, а затем использовали похищенные секреты для компрометации npm‑пакетов и распространения самораспространяющегося червя CanisterWorm. Позже эти же секреты применялись для инъекции вредоносного кода в GitHub Actions‑воркфлоу компаний Checkmarx и публикации опасных версий пакетов LiteLLM и Telnyx в Python Package Index (PyPI).
Исследования Trend Micro показывают ускоряющуюся эволюцию TTP злоумышленников: от простых строк Base64 в пайплайнах до использования стеганографии в WAV‑файлах и одновременного поражения Linux и Windows с устойчивостью на последней. На Windows‑системах вредоносная версия Telnyx SDK разворачивала исполняемый файл «msbuild.exe», извлекающий из PNG‑изображения загрузчик DonutLoader и далее — полноценный троян и beacon, связанный с фреймворком AdaptixC2.
Кампания получила идентификатор CVE‑2026‑33634 и была добавлена в каталог Known Exploited Vulnerabilities Агентства по кибербезопасности и инфраструктурной безопасности США (CISA), с требованием к федеральным структурам внедрить меры защиты до 9 апреля 2026 года.
Масштабы утечек подтверждают сторонние анализы. GitGuardian выявила, что вредоносный GitHub Actions‑воркфлоу trivy-action был выполнен как минимум в 474 публичных репозиториях, а около 1750 Python‑пакетов автоматически подтягивали заражённые версии зависимостей. Google оценивает, что в результате атак на Axios и Trivy в обращении могут находиться «сотни тысяч украденных секретов», что создаёт основу для новых атак на цепочку поставок, компрометаций SaaS‑сервисов, вымогательства и кражи криптоактивов.
Почему атакуют средства безопасности и как защитить цепочку поставок ПО
Особую тревогу вызывает целенаправленное внимание злоумышленников к инструментам с повышенными привилегиями: сканерам уязвимостей, CI/CD‑пайплайнам, инфраструктуре ИИ. Как отмечает представитель киберподразделения ФБР Брэтт Лизерман, компрометация средств безопасности даёт атакующему доступ к наиболее чувствительным средам, поскольку этим инструментам по дизайну доверяют и предоставляют широкий доступ.
Практика последних атак подтверждает тезис, сформулированный CISO Docker Марком Лехнером: в современной DevOps‑среде «доверие должно быть явно проверяемым, а не предполагаемым». На практике это означает переход к верифицированным базовым образам вместо случайных community‑сборок, использование зафиксированных версий (pinned versions) вместо плавающих тегов latest, минимально необходимых, короткоживущих секретов вместо постоянных токенов, а также изолированные CI‑раннеры вместо широкодоступных сред.
Атаки на Axios, Trivy и связанные экосистемы наглядно показывают, что основная точка риска сегодня — автоматизация: GitHub Actions, пайплайны CI/CD, менеджеры зависимостей, сканеры кода. Организациям необходимо срочно инвентаризировать свои цепочки поставок ПО, внедрять непрерывное сканирование секретов, контролировать использование open source‑зависимостей, отслеживать аномалии в пайплайнах и регулярно проверять влияние известных кампаний вроде CVE‑2026‑33634.
По оценке Mandiant (Google), количество атак на цепочку поставок уже «зашкаливает», и защитным командам требуется выделять отдельные проекты на оценку последствий, ремедиацию и укрепление DevSecOps‑процессов. Чем раньше будет выстроен прозрачный и контролируемый контур цепочки поставок — от исходного кода до продакшна, — тем ниже вероятность, что следующая волна supply chain‑атак застанет компанию врасплох.
