De Axios npm supply chain-aanval is in verband gebracht met de Noord-Koreaanse Lazarus Group, waardoor OpenAI gedwongen werd uitgebreide herstelmaatregelen te nemen na het incident dat op 1 april 2026 werd gerapporteerd.
Dit incident duidt op een groeiende dreiging van softwarekwetsbaarheden van derden, aangezien OpenAI de blootstelling aan de aanval openbaarde en tegelijkertijd de veiligheid van zijn gebruikersgegevens en interne systemen bevestigde. Google Threat Intelligence Group schreef de aanval toe aan UNC1069, een financieel gemotiveerde groep waarvan bekend is dat ze sinds minstens 2018 actief is.
OpenAI verklaarde: “We hebben onlangs een beveiligingsprobleem geïdentificeerd waarbij een externe ontwikkelaarstool, Axios, betrokken was, dat deel uitmaakte van een breed gerapporteerd, breder industrie-incident.” Ze voegden eraan toe dat er geen bewijs was dat er toegang was verkregen tot gebruikersgegevens of dat interne systemen waren gecompromitteerd.
De blootstelling vond plaats op 31 maart 2026, toen een GitHub Actions-workflow een gecompromitteerde versie van Axios (v1.14.1) uitvoerde, die toegang had tot gevoelige code-signing-certificaten voor OpenAI-applicaties, waaronder ChatGPT Desktop en Codex.
Als reactie hierop startte OpenAI een volledige rotatie van zijn macOS-codeondertekeningscertificaten, waarbij deze als mogelijk gecompromitteerd werden beschouwd, ondanks interne analyse die erop wees dat de certificaten waarschijnlijk niet waren geëxfiltreerd. Gebruikers zijn verplicht hun macOS-applicaties bij te werken, waarbij de ondersteuning voor oudere versies eindigt op 8 mei 2026.
De updates omvatten nieuwe certificaten om de verspreiding van kwaadaardige software, die zich voordoet als legitieme OpenAI-applicaties, te voorkomen. Deze stap is nodig om de inherente risico’s van aanvallen op de toeleveringsketen aan te pakken.
OpenAI schakelde een extern digitaal forensisch bedrijf in om het incident te onderzoeken en werkte samen met Apple om nieuwe notariële pogingen met het oude certificaat te blokkeren. Het bedrijf heeft ook nieuwe builds van alle getroffen applicaties gepubliceerd en eerdere softwarenotarisaties op afwijkingen gecontroleerd.
De hoofdoorzaak van de blootstelling kwam voort uit een verkeerde configuratie in de GitHub Actions-workflow van OpenAI, die gebruik maakte van een zwevende tag in plaats van een vaste commit-hash, waardoor het risico op de introductie van gecompromitteerde pakketten groter werd.
OpenAI heeft bevestigd dat de inbreuk geen impact heeft gehad op platforms zoals iOS, Android, Windows of Linux. Ze herhaalden dat er geen gebruikersgegevens, API-sleutels of wachtwoorden zijn aangetast en dat er geen kwaadaardige software met de handtekening van OpenAI is gevonden.
Het oude certificaat wordt op 8 mei 2026 volledig ingetrokken, na een overgangsperiode van 30 dagen om gebruikersaanpassingen te vergemakkelijken. Alle software die met het oude certificaat is ondertekend, wordt na de intrekking geblokkeerd door macOS-beveiligingsmaatregelen, waardoor de kans op misbruik tot een minimum wordt beperkt.
Deze aanval weerspiegelt de escalerende risico’s die gepaard gaan met softwareafhankelijkheden van derden en onderstreept de cruciale behoefte aan strikter afhankelijkheidsbeheer en veilige ontwikkelingspraktijken binnen organisaties.
