OpenAI reveló que un flujo de trabajo de GitHub Actions utilizado para firmar sus aplicaciones macOS descargó la biblioteca Axios maliciosa el 31 de marzo, pero señaló que no se comprometieron datos de usuarios ni sistemas internos. 'Por precaución, estamos tomando medidas para proteger el proceso que certifica que nuestras aplicaciones macOS son legítimas', declaró OpenAI la semana pasada. 'No encontramos evidencia de que se accediera a datos de usuarios, se comprometieran nuestros sistemas o propiedad intelectual, ni que nuestro software fuera alterado'.

La divulgación ocurre poco más de una semana después de que Google Threat Intelligence Group (GTIG) atribuyera la compromiso de la cadena de suministro del popular paquete npm a un grupo de hacking norcoreano al que rastrea como UNC1069. El ataque permitió a los actores de amenazas secuestrar la cuenta npm del mantenedor del paquete para publicar dos versiones envenenadas, 1.14.1 y 0.30.4, que incluían una dependencia maliciosa llamada 'plain-crypto-js', que desplegaba un backdoor multiplataforma llamado WAVESHAPER.V2 para infectar sistemas Windows, macOS y Linux.

La empresa de inteligencia artificial explicó que un flujo de trabajo de GitHub Actions que utiliza como parte de su proceso de firma de aplicaciones macOS descargó y ejecutó Axios versión 1.14.1. Dicho flujo de trabajo tenía acceso a un certificado y material de notarización utilizado para firmar ChatGPT Desktop, Codex, Codex CLI y Atlas. 'Nuestro análisis del incidente concluyó que el certificado de firma presente en este flujo de trabajo probablemente no fue exfiltrado con éxito por la carga maliciosa debido al momento de la ejecución de la carga, la inyección del certificado en el trabajo, la secuenciación del trabajo en sí y otros factores mitigantes', afirmó la compañía.

A pesar de no encontrar evidencia de exfiltración de datos, OpenAI indicó que trata el certificado como comprometido y que lo revoca y rota. Como resultado, las versiones antiguas de todas sus aplicaciones de escritorio macOS dejarán de recibir actualizaciones o soporte a partir del 8 de mayo de 2026. Esto también significa que las aplicaciones firmadas con el certificado anterior serán bloqueadas por defecto por las protecciones de seguridad de macOS, impidiendo su descarga o ejecución. Las versiones más recientes firmadas con el certificado actualizado incluyen ChatGPT Desktop 1.2026.071, Codex App 26.406.40811, Codex CLI 0.119.0 y Atlas 1.2026.84.2.

Como parte de sus esfuerzos de remediación, OpenAI está trabajando con Apple para garantizar que el software firmado con el certificado anterior no pueda ser notarizado nuevamente. El período de 30 días hasta el 8 de mayo de 2026 busca minimizar las interrupciones para los usuarios y darles tiempo suficiente para actualizarse a la última versión. 'En caso de que el certificado fuera comprometido con éxito por un actor malicioso, podrían usarlo para firmar su propio código, haciéndolo parecer software legítimo de OpenAI', advirtió OpenAI. 'Hemos detenido nuevas notarizaciones de software con el certificado antiguo, por lo que el software nuevo firmado con el certificado antiguo por un tercero no autorizado sería bloqueado por defecto por las protecciones de seguridad de macOS a menos que el usuario las eluda explícitamente'.

Dos ataques a la cadena de suministro en marzo

La brecha de Axios, una de las bibliotecas cliente HTTP más utilizadas, fue uno de los dos grandes ataques a la cadena de suministro ocurridos en marzo contra el ecosistema de código abierto. El otro incidente afectó a Trivy, un escáner de vulnerabilidades mantenido por Aqua Security, generando impactos en cascada en cinco ecosistemas y afectando a otras bibliotecas populares que dependían de él. El ataque, obra de un grupo cibercriminal llamado TeamPCP (también conocido como UNC6780), desplegó un ladrón de credenciales denominado SANDCLOCK que facilitó la extracción de datos sensibles de entornos de desarrollo. Posteriormente, los actores de amenazas utilizaron las credenciales robadas para comprometer paquetes npm y propagar un gusano de autopropagación llamado CanisterWorm.

Días después, el equipo utilizó secretos robados de la intrusión en Trivy para inyectar el mismo malware en dos flujos de trabajo de GitHub Actions mantenidos por Checkmarx. Luego publicaron versiones maliciosas de LiteLLM y Telnyx en el Índice de Paquetes de Python (PyPI), ambos utilizando Trivy en su pipeline de CI/CD. 'La compromiso de Telnyx indica un cambio continuo en las técnicas utilizadas en la actividad de cadena de suministro de TeamPCP, con ajustes en herramientas, métodos de entrega y cobertura de plataformas', señaló Trend Micro en un análisis del ataque.

En sistemas Windows, el hackeo del SDK de Python de Telnyx resultó en el despliegue de un ejecutable llamado 'msbuild.exe' que emplea varias técnicas de ofuscación para evadir la detección y extrae DonutLoader, un cargador de shellcode, de una imagen PNG presente dentro del binario para cargar un troyano completo y un beacon asociado con AdaptixC2, un framework de comando y control (C2) de código abierto.

Ataques en cascada a través de dependencias

Google ha advertido que 'cientos de miles de secretos robados' podrían estar circulando como resultado de las brechas de Axios y Trivy, alimentando más ataques a la cadena de suministro de software, compromisos de entornos SaaS, eventos de ransomware y extorsión, y robo de criptomonedas a corto plazo. Dos organizaciones que han confirmado compromiso a través del ataque a la cadena de suministro de Trivy son la startup de datos de entrenamiento de IA Mercor y la Comisión Europea. Mientras que la empresa con sede en California no ha compartido detalles sobre el impacto, el grupo de extorsión LAPSUS$ incluyó a Mercor en su sitio de filtraciones a principios de abril, afirmando haber exfiltrado unos 4 TB de datos. La brecha de Mercor ha llevado a Meta a pausar su trabajo con la empresa, según un informe de WIRED.

A principios de este mes, CERT-EU reveló que los actores de amenazas utilizaron el secreto de AWS robado para exfiltrar datos del entorno en la nube de la Comisión. Esto incluyó datos relacionados con sitios web alojados para hasta 71 clientes del servicio de alojamiento web Europa y comunicaciones de correo electrónico salientes. El grupo ShinyHunters ha publicado posteriormente el conjunto de datos exfiltrado públicamente en su sitio de filtraciones en la dark web.

El análisis de GitGuardian sobre los ataques a la cadena de suministro de Trivy y LiteLLM y su propagación a través de dependencias y pipelines de automatización encontró que 474 repositorios públicos ejecutaron código malicioso del flujo de trabajo 'trivy-action' comprometido, y 1750 paquetes de Python estaban configurados de manera que descargarían automáticamente las versiones envenenadas. 'TeamPCP está atacando deliberadamente herramientas de seguridad que se ejecutan con privilegios elevados por diseño. Comprometerlas le da al atacante acceso a algunos de los entornos más sensibles de la organización, porque las herramientas de seguridad suelen tener acceso amplio por diseño', escribió Brett Leatherman, subdirector de la División Cibernética de la Oficina Federal de Investigaciones de EE. UU. (FBI), en LinkedIn.

Los incidentes de cadena de suministro son peligrosos porque apuntan a la confianza inherente que los desarrolladores asumen al descargar paquetes y dependencias de repositorios de código abierto. 'Se asumió la confianza donde debería haberse verificado', dijo Mark Lechner, director de seguridad de la información de Docker. 'Las organizaciones que superaron estos incidentes con daños mínimos ya habían comenzado a reemplazar la confianza implícita con verificación explícita en cada capa de su pila: imágenes base verificadas en lugar de descargas comunitarias, referencias fijas en lugar de etiquetas mutables, credenciales con alcance limitado y corta duración en lugar de tokens de larga duración, y entornos de ejecución en espacio aislado en lugar de runners de CI abiertos'.

Recomendaciones para desarrolladores

  • Fijar paquetes por digest o commit SHA en lugar de etiquetas mutables.
  • Usar Docker Hardened Images (DHI).
  • Aplicar configuraciones de antigüedad mínima de lanzamiento para retrasar la adopción de nuevas versiones en actualizaciones de dependencias.
  • Tratar cada runner de CI como un posible punto de brecha y evitar desencadenantes pull_request_target en GitHub Actions a menos que sea absolutamente necesario.
  • Usar credenciales de corta duración y alcance limitado.
  • Usar un espejo interno o proxy de artefactos.
  • Desplegar tokens canary para ser alertado sobre posibles intentos de exfiltración.
  • Auditar el entorno en busca de secretos codificados.
  • Ejecutar agentes de codificación de IA en entornos aislados.
  • Usar publicación confiable para subir paquetes a npm y PyPI.
  • Asegurar el pipeline de desarrollo de código abierto con autenticación de dos factores (2FA).

La Agencia de Seguridad Cibernética y de Infraestructura de EE. UU. (CISA) ha agregado CVE-2026-33634 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), ordenando a las agencias de la Rama Ejecutiva Civil Federal (FCEB) aplicar las mitigaciones necesarias antes del 9 de abril de 2026. 'El número de ataques recientes a la cadena de suministro de software es abrumador', dijo Charles Carmakal, director de tecnología de Mandiant Consulting en Google. 'Los defensores deben prestar mucha atención a estas campañas. Las empresas deberían iniciar proyectos dedicados para evaluar el impacto existente, remediar y fortalecerse contra futuros ataques'.

Cybersecurity
Cybersecurity
Cybersecurity
Cybersecurity