Nieuws
image

OpenAI getroffen door Axios-aanval, vervangt code signing certificaat

maandag 13 april 2026, 15:37 door Redactie, 3 reacties

OpenAI is één van de organisaties die getroffen is door de aanval op Axios en heeft uit voorzorg besloten om het code signing certificaat gebruikt voor het signeren van macOS-apps te vervangen. Applicaties gebruiken de Axios library om via HTTP met andere systemen te communiceren. De library heeft meer dan honderd miljoen wekelijkse downloads op npmjs.com.

Bij een recente aanval wisten de aanvallers het account van de primaire maintainer van het Axios-project te compromitteren, om vervolgens malafide versies uit te brengen. Deze versies installeerden bij gebruikers een remote access trojan (RAT). De GitHub Actions workflow die OpenAI gebruikt voor het signeren van de macOS-app downloadde de besmette versie en voerde die ook uit. De workflow in kwestie heeft toegang tot het certificaat en notarization materiaal dat OpenAI gebruikt voor het signeren van macOS-applicaties, waaronder ChatGPT Desktop, Codex, Codex-cli en Atlas.

Door de code te signeren kunnen gebruikers controleren dat de software afkomstig is van OpenAI. Met een gestolen certificaat zou een aanvaller malware kunnen signeren, waarbij het lijkt om legitieme OpenAI software te gaan. OpenAI deed onderzoek naar de aanval en stelt dat het code signing certificaat waarschijnlijk niet door de aanvallers is gestolen.

Uit voorzorg is echter besloten om het certificaat als gecompromitteerd te beschouwen en het te vervangen. Vanaf 8 mei zullen oudere versies van ChatGPT Desktop, Codex App, Codex CLI en Atlas voor macOS geen updates meer ontvangen en mogelijk niet meer werken. Gebruikers krijgen zo een maand de tijd om hun applicaties te vervangen.

Volgens OpenAI is het getroffen notarization materiaal niet meer te gebruiken. Mocht het getroffen certificaat worden gebruikt voor het signeren van een macOS-app, dan zal macOS deze app vanwege het ontbreken van notarization standaard blokkeren. Notarization is een geautomatiseerd proces waarbij Apple door ontwikkelaars aangeboden apps op malware controleert. Mocht er misbruik van het certificaat worden gedetecteerd, dan zegt OpenAI de genoemde datum naar voren te halen.

Reacties (3)
Reageer met quote
Gisteren, 18:03 door Anoniem
Die simbox staat de hele dag aan daar: Ja, dan heb je een keer raak.
Reageer met quote
Gisteren, 18:39 door Anoniem
Applicaties gebruiken de Axios library om via HTTP met andere systemen te communiceren.

Gebruiken die nog geen https?
Wat ouderwets.
Reageer met quote
Vandaag, 09:40 door Drs Security en Privacy
Even ter opmerking voor de redactie: certificaten ondertekenen niets, certifikaten zijn er slechts voor om te bewijzen dat het sleutel materiaal waarmee ondertekend wordt daadwerkelijk toebehoord aan diegene die claimt dit te hebben.
Het stelen van alleen een certificaat is daarmee nutteloos en geen enkel security issue, dat ding hoort publiek te zijn.
Wat hier is gebeurd is dat de private sleutel (asymmetrisch) van het sleutelpaar is buit gemaakt. Daarmee kan dus een gecompromiteerde versie ondertekend worden en met het certificaat worden gevalideerd.

Ik weet dat de meeste media dit niet snappen, sterker nog er zijn genoeg zogenaamde security professionals die beweren dat het certificaat dit doet. Volgende keer graag de feiten en geen onwaarheden svp.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components