Actores norcoreanos comprometieron Axios para atacar las apps de OpenAI en Mac: actualiza antes del 8 de mayo

El 31 de marzo, un desarrollador recibió una invitación de colaboración que parecía legítima. Una llamada de videoconferencia. Una propuesta de proyecto. El tipo de mensaje que llega decenas de veces a la semana a cualquier programador activo en comunidades open source. Al final de ese proceso de ingeniería social, actores vinculados a Corea del Norte tenían acceso a la cuenta del mantenedor de Axios, una de las librerías JavaScript más descargadas del mundo. Lo que vino después afectó directamente a millones de usuarios de ChatGPT en Mac.

Cómo ocurrió el ataque

El 31 de marzo de 2026, Axios, una librería de desarrollador ampliamente utilizada, fue comprometida como parte de un ataque más amplio a la cadena de suministro de software. Los actores de la amenaza se acercaron a los desarrolladores a través de configuraciones falsas pero convincentes de colaboración, incluyendo espacios de trabajo de Slack y llamadas de Microsoft Teams, engañándoles finalmente para que instalaran malware que llevó al robo de credenciales y a compromisos en la cadena de suministro. Model Context Protocol

El workflow de GitHub Actions comprometido descargó y ejecutó un paquete Axios malicioso, la versión 1.14.1, que se usó en los ataques para desplegar malware en dispositivos. Ese workflow tenía acceso a los certificados de firma de código usados para firmar las apps de macOS de OpenAI, incluyendo ChatGPT Desktop, Codex, Codex CLI y Atlas. Model Context Protocol

En el mundo del desarrollo de software, los certificados de firma de código son el equivalente a un sello notarial: garantizan que una aplicación viene exactamente de quien dice venir. Si un atacante obtiene ese certificado, puede firmar software malicioso que macOS acepta como legítimo porque, técnicamente, lleva la firma de OpenAI.

Lo que OpenAI encontró — y lo que no puede descartar

El análisis de OpenAI concluyó que el certificado de firma probablemente no fue exfiltrado con éxito por el payload malicioso, debido al timing de la ejecución del payload, la inyección del certificado en el job, la secuenciación del propio job y otros factores de mitigación. CIO

La palabra clave es «probablemente». OpenAI no puede afirmar con certeza absoluta que el certificado no fue comprometido, y ante esa incertidumbre ha tomado la decisión más conservadora posible: tratar el certificado como comprometido aunque no haya evidencia directa de que lo esté, y revocarlo por completo.

OpenAI dice que el problema está limitado a sus aplicaciones de macOS y no afecta a sus servicios web ni a apps en iOS, Android, Windows o Linux. Las contraseñas de usuario y las claves de API tampoco fueron afectadas. Model Context Protocol

Quién está detrás y qué campaña más amplia representa

El ataque a la cadena de suministro de Axios ha sido vinculado a actores de amenaza norcoreanos rastreados como UNC1069, que llevaron a cabo una campaña de ingeniería social contra uno de los mantenedores del proyecto. Tras realizar una falsa llamada de conferencia web que llevó a la instalación de malware, los actores obtuvieron acceso a la cuenta del mantenedor y publicaron versiones maliciosas del paquete Axios en npm. Model Context Protocol

La actividad ha sido vinculada a una campaña más amplia para comprometer proyectos open source populares en ataques de cadena de suministro a gran escala. El grupo involucrado, TeamPCP, puede haber terminado su racha de compromisos en la cadena de suministro, pero ha cambiado su enfoque hacia monetizar las cosechas de credenciales existentes asociándose con otros grupos con motivación financiera como Vect, LAPSUS$ y ShinyHunters. Las evidencias indican que los actores de la amenaza han lanzado también una operación de ransomware propia bajo el nombre CipherForce. a2a mcp

La CISA, la agencia de ciberseguridad del gobierno estadounidense, añadió la vulnerabilidad al catálogo de vulnerabilidades explotadas conocidas con el identificador CVE-2026-33634, ordenando a las agencias federales civiles aplicar las mitigaciones necesarias antes del 9 de abril.

Qué deben hacer los usuarios de Mac ahora mismo

La acción requerida es concreta y tiene un plazo fijo. A partir del 8 de mayo de 2026, las versiones antiguas de las apps de escritorio de macOS de OpenAI dejarán de recibir actualizaciones o soporte y pueden dejar de funcionar. Estas versiones representan las primeras publicaciones firmadas con el certificado actualizado. CIO

El proceso de actualización es el estándar para cualquier app de macOS: abre la aplicación, ve a las preferencias o al menú de la app y busca la opción de actualización. Si la actualización automática falla, descarga la versión más reciente directamente desde openai.com. Las versiones publicadas después del 20 de abril de 2026 ya están firmadas con el nuevo certificado.

OpenAI también está trabajando con Apple para garantizar que ningún software futuro pueda ser notarizado con el certificado anterior. Esto significa que cualquier app fraudulenta que se haga pasar por una app de OpenAI usando el certificado comprometido carecerá de notarización y será bloqueada por defecto por las protecciones de seguridad de macOS. Model Context Protocol

El patrón que convierte este incidente en algo más que una noticia de seguridad

Los ataques a la cadena de suministro de software aumentaron más de un 300% en los últimos tres años. a2a mcp El caso Axios no es una anomalía: es el ejemplo más reciente y mediático de una tendencia estructural. Las herramientas que los desarrolladores usan para construir software se han convertido en el vector de ataque preferido precisamente porque concentran acceso a múltiples objetivos simultáneamente.

Una librería como Axios, con decenas de millones de descargas semanales, es un multiplicador extraordinario. Comprometer su mantenedor no da acceso a un sistema. Da acceso potencial a todos los sistemas que la usan. En un ecosistema donde la IA se está convirtiendo en infraestructura crítica —con apps de millones de usuarios que se actualizan automáticamente desde repositorios de código— la seguridad de esos repositorios ya no es un problema de los equipos de desarrollo. Es un problema de todos.