OpenAI 近期確認,旗下 macOS 應用程式的程式碼簽署流程於今年三月受到供應鏈攻擊波及,原因是廣泛使用的
HTTP 套件 Axios 遭北韓駭客組織植入惡意程式碼。為降低潛在風險,OpenAI 已決定吊銷並換發相關憑證,並要求所有 macOS 使用者在 2026 年 5 月 8 日前更新至最新版本。
Axios 遭植入後門
事件核心起自
Axios 的 npm 帳號遭到入侵。Axios 是目前最廣泛使用的 HTTP 用戶端函式庫之一,使用率橫跨約 80% 的雲端環境,每週下載量高達一億次。
根據 Google 威脅情報小組(GTIG)的調查,這起入侵行動由北韓駭客組織
UNC1069 主導。攻擊者透過社交工程手法,假冒視訊會議等情境,誘騙該套件的核心維護者安裝惡意程式,藉此取得其 npm 帳號的控制權。
取得帳號後,UNC1069 發布了含惡意依賴套件的 Axios 版本 1.14.1 與 0.30.4,並在名為 plain-crypto-js 的假套件中藏匿名為 WAVESHAPER.V2 的跨平台後門程式。該惡意版本雖僅上線約三小時,但第一起感染事件卻在上架後短短 89 秒內發生。
OpenAI 的 GitHub Actions 工作流程下載惡意版本
2026 年 3 月 31 日,OpenAI 用於 macOS 應用程式簽署流程的 GitHub Actions 自動化工作流程在執行期間,下載並執行了 Axios 惡意版本 1.14.1。此事嚴重之處在於,該工作流程持有用於簽署 ChatGPT Desktop、Codex、Codex CLI 及 Atlas 等應用程式的程式碼簽署憑證與公證材料。
OpenAI 委託第三方事件應變公司進行調查。調查結論指出,憑證「可能」未被成功竊取,原因包括惡意酬載的執行時機,以及憑證注入作業的排程順序等多項緩解因素。儘管如此,OpenAI 仍表示將該憑證視為已遭洩露,並主動啟動吊銷與換發程序。
官方聲明強調,此次事件未造成使用者資料遭存取,系統或智慧財產亦未遭侵害,且沒有任何應用程式軟體被竄改。
影響範圍僅限於 macOS 平台,不影響 iOS、Android、Windows、Linux 或網頁版服務。
使用者須留意的更新期限
舊憑證將於 2026 年 5 月 8 日正式失效。屆時,凡以舊憑證簽署的應用程式都將被 macOS 安全機制封鎖,可能無法啟動或下載。OpenAI 也已與 Apple 合作,確保舊憑證日後無法用於新的公證申請。若攻擊者確實取得舊憑證,理論上可藉此偽裝成合法的 OpenAI 軟體,對使用者發動攻擊。
以下為已換發新憑證簽署的最低版本要求,使用者須更新至下列版本或更新版本:
- ChatGPT Desktop:1.2026.071
- Codex App:26.406.40811
- Codex CLI:0.119.0
- Atlas:1.2026.84.2
同期另一場供應鏈攻擊:Trivy 事件
同樣在三月爆發的,還有另一起規模更大的供應鏈攻擊事件,目標是由 Aqua Security 維護的容器漏洞掃描工具
Trivy。這起攻擊由另一個駭客組織
TeamPCP(又稱 UNC6780)主導;其手法是
先將憑證竊取程式 SANDCLOCK 植入受害開發者環境,再利用竊得的憑證入侵多個 npm 套件,並推播名為 CanisterWorm 的自我繁殖蠕蟲。
延伸閱讀:AI代理程式首次發動大規模攻擊,駭客鎖定微軟、DataDog與CNCF的GitHub專案
在此基礎上,TeamPCP 進一步將攻擊延伸至 Checkmarx 維護的兩個 GitHub Actions 工作流程,並向 PyPI 發布含惡意程式的 LiteLLM 與 Telnyx Python SDK。在 Telnyx 的案例中,攻擊者在 Windows 系統植入偽裝成 msbuild.exe 的可執行檔,並透過 WAV 音訊隱碼術藏匿 DonutLoader 殼碼載入器,最終部署與開源指揮控制 (C2) 框架 AdaptixC2 相關的完整木馬程式。此攻擊活動被命名為 CVE-2026-33634,並列入美國網路安全暨基礎設施安全局 (CISA) 的已知遭利用漏洞 (KEV) 清單。
GitGuardian 分析指出,受 Trivy 供應鏈攻擊影響的公開儲存庫多達 474 個,另有 1,750 個 Python 套件的設定可能會自動拉取含毒版本。Google 進一步警告,兩起攻擊合計可能導致數十萬筆秘密金鑰外洩,並引發更多勒索軟體)、加密貨幣竊盜,以及 SaaS 環境入侵事件。已確認受
Trivy 攻擊波及的機構包含 AI 新創 Mercor 及歐盟執委會,其中後者多達 71 個網站的資料遭外洩。
防護建議
面對這波供應鏈攻擊,Docker 與 PyPI 等機構整理出以下實務建議,供開發者與企業參考:
- 以摘要或 Commit SHA 固定套件版本,避免使用可變標籤
- 使用 Docker Hardened Images(DHI)等強化版基礎映像檔
- 對依賴套件更新強制設定最低發布年齡
- 將每個 CI 執行器視為潛在入侵點,避免不必要的 pull_request_target 觸發條件
- 使用短效且範圍更小的憑證
- 部署金絲雀令牌,以偵測潛在的資料外洩行為
- 使用內部鏡像或製品代理,管控套件來源
- 審計環境中是否存在硬式編碼的秘密金鑰
- 啟用雙因素驗證,保護開源開發流程
本文轉載自 TheHackerNews、BleepingComputer、Hackread。