OpenAI revoca certificato macOS dopo compromissione Axios e aggiorna ChatGPT Desktop

OpenAI ha revocato il certificato di firma delle proprie applicazioni macOS dopo che il 31 marzo 2026 una versione malevola di Axios 1.14.1 è stata eseguita all’interno del workflow GitHub Actions usato per firmare ChatGPT Desktop, Codex, Codex CLI e Atlas. L’incidente nasce da un più ampio supply chain attack contro l’ecosistema npm attribuito al gruppo nordcoreano UNC1069, che ha compromesso l’account del maintainer di Axios e pubblicato pacchetti avvelenati con dipendenze malevole. Anche se OpenAI non ha trovato prove di esfiltrazione del certificato, né accessi a dati utente o sistemi interni, l’azienda ha scelto una risposta estremamente prudente: rotazione immediata del certificato, blocco delle notarizzazioni con la vecchia chiave e aggiornamento obbligatorio per tutti gli utenti Mac.

Axios 1.14.1 entra nel workflow GitHub Actions di OpenAI

Il nodo tecnico dell’incidente è l’esecuzione automatica della versione compromessa Axios 1.14.1 nel pipeline di signing macOS. Il job di GitHub Actions utilizzava un tag floating invece di un commit hash fisso, permettendo il download automatico della release più recente disponibile nel momento della build. Quando il pacchetto malevolo è stato pubblicato su npm ed è rimasto online per circa tre ore, il workflow lo ha scaricato ed eseguito senza ulteriori verifiche. In quel contesto erano presenti il certificato di firma e i materiali di notarizzazione Apple usati per validare le app OpenAI su macOS. Anche se diversi fattori temporali del job hanno probabilmente impedito l’esfiltrazione, il semplice fatto che il payload abbia avuto accesso potenziale a quella trust chain ha imposto una risposta drastica.

OpenAI ruota il certificato e impone aggiornamenti entro l’8 maggio

La decisione più importante è stata la revoca completa del certificato precedente, trattato come potenzialmente compromesso nonostante l’assenza di indicatori di abuso. Le nuove build delle applicazioni desktop Mac sono già firmate con il nuovo certificato e includono versioni aggiornate di ChatGPT Desktop, Codex App, Codex CLI e Atlas. Per gli utenti questo significa una scadenza precisa: entro l’8 maggio 2026 tutte le installazioni precedenti devono essere aggiornate tramite l’updater interno o i download ufficiali. Dopo quella data le vecchie versioni potrebbero non avviarsi più correttamente e smettere di ricevere supporto, perché le protezioni native di macOS tenderanno a bloccare il software firmato con il certificato revocato. Questa mossa elimina il rischio che eventuali applicazioni fraudolente possano apparire come software legittimo OpenAI.

UNC1069 colpisce Axios con social engineering contro il maintainer

La compromissione di Axios non è avvenuta tramite una vulnerabilità del codice, ma attraverso una campagna di social engineering avanzato contro il maintainer principale. Il gruppo UNC1069 ha costruito un falso ambiente aziendale con Slack, LinkedIn e Microsoft Teams, simulando branding, profili dipendenti e canali con attività credibili. Dopo aver instaurato fiducia, gli attaccanti hanno indotto il maintainer a installare un presunto aggiornamento di Teams che in realtà conteneva un RAT. Ottenuto accesso remoto al dispositivo, hanno sottratto le credenziali npm e pubblicato le versioni malevole 1.14.1 e 0.30.4. La supply chain non è stata quindi alterata nel repository sorgente, ma nel punto più delicato della distribuzione: la pubblicazione del pacchetto downstream. Questo approccio rende l’attacco molto più difficile da rilevare in tempo reale.

La dipendenza plain-crypto-js distribuiva il backdoor WAVESHAPER.V2

Il payload introdotto nelle release compromesse di Axios caricava una dipendenza malevola chiamata plain-crypto-js, progettata per installare il backdoor WAVESHAPER.V2 su Windows, macOS e Linux. L’obiettivo principale non era solo il furto di dati, ma la compromissione di ambienti di sviluppo e pipeline CI/CD ad alta fiducia. Nel caso di OpenAI il rischio teorico era enorme: un certificato di firma macOS sottratto avrebbe potuto consentire la distribuzione di false versioni di ChatGPT Desktop apparentemente legittime, firmate con una chiave riconosciuta dal sistema operativo Apple. Proprio per questo la risposta di rotazione preventiva rappresenta una misura di difesa della catena di fiducia software, più ancora che una semplice remediation tecnica.

La causa radice è nel pinning debole delle dipendenze CI

Dal punto di vista DevSecOps, il punto centrale dell’incidente è la configurazione del workflow. OpenAI ha identificato come causa radice l’uso di floating tags e l’assenza di una policy tipo minimumReleaseAge, che avrebbe evitato l’adozione immediata di nuove release appena pubblicate. La correzione è stata immediata: ora i workflow impongono commit hash specifici, pinning rigido e controlli più severi sulla freschezza delle versioni. Questa lezione è cruciale per tutto il settore, perché dimostra come anche organizzazioni con pipeline mature possano essere esposte a rischi supply chain se la risoluzione delle dipendenze resta troppo permissiva. I maintainer di CI/CD dovrebbero considerare il pinning immutabile una misura di base, non un hardening opzionale.

Gli utenti Mac devono scaricare solo dalle fonti ufficiali

Per gli utenti finali il messaggio operativo è semplice ma fondamentale: aggiornare subito ChatGPT Desktop e le altre app OpenAI per macOS usando esclusivamente l’update in-app o i siti ufficiali. Qualsiasi link ricevuto via email, messaggi diretti o canali non verificati deve essere considerato sospetto, soprattutto durante il periodo di transizione tra certificato vecchio e nuovo. Incidenti di questo tipo mostrano quanto la fiducia software su macOS dipenda dal corretto funzionamento della firma e della notarizzazione. La trasparenza di OpenAI nel comunicare tempi, versioni coinvolte e deadline di supporto offre un modello importante di gestione pubblica di un incidente supply chain ad alto impatto.