Workflow GitHub Actions d'OpenAI Compromis par un Package Axios Malveillant
OpenAI a révélé le 13 avril 2026 que des attaquants ont réussi à compromettre l'un de leurs workflows GitHub Actions via une version malveillante de la bibliothèque client HTTP populaire Axios. L'attaque a spécifiquement ciblé le pipeline de construction d'applications macOS d'OpenAI, où le package compromis s'est exécuté pendant le processus de signature de code automatisé. Les chercheurs en sécurité de Hackread ont d'abord signalé l'incident après avoir analysé un trafic réseau suspect provenant de l'infrastructure de construction d'OpenAI.
Le package Axios malveillant, identifié comme la version 1.6.8-malicious, contenait du code JavaScript obfusqué conçu pour exfiltrer des variables d'environnement et des secrets de l'environnement du runner GitHub Actions. Le package maintenait une compatibilité totale avec les fonctionnalités légitimes d'Axios pour éviter la détection lors des tests automatisés. Les attaquants ont téléchargé le package compromis sur le registre npm en utilisant une technique appelée confusion de dépendance, où ils ont enregistré un nom de package similaire à une dépendance interne d'OpenAI.
L'équipe de sécurité d'OpenAI a détecté la violation lorsque leurs systèmes de surveillance automatisés ont signalé des connexions réseau sortantes inhabituelles depuis leur environnement de construction macOS. Le package malveillant tentait de transmettre des données encodées en base64 à un serveur de commande et de contrôle hébergé sur un site WordPress compromis. L'analyse a révélé que le package avait été actif dans le pipeline de construction d'OpenAI pendant environ 72 heures avant d'être détecté, période durant laquelle il avait accès aux certificats de signature de code, aux clés API et à d'autres artefacts de construction sensibles.
L'attaque représente une compromission sophistiquée de la chaîne d'approvisionnement ciblant l'une des entreprises d'IA les plus en vue au monde. Les experts en sécurité ont noté que les attaquants ont démontré une connaissance approfondie des processus de construction d'OpenAI et ont spécifiquement conçu le package malveillant pour cibler l'infrastructure de certificats macOS. L'incident s'est produit pendant une période de surveillance accrue des pratiques de sécurité des entreprises d'IA, suite aux récentes directives réglementaires de la CISA concernant la protection des systèmes d'IA.
Utilisateurs macOS et Écosystème d'Applications OpenAI en Danger
La compromission affecte principalement les utilisateurs des applications macOS d'OpenAI, y compris le client de bureau ChatGPT et tous les outils macOS distribués en interne qui dépendent des certificats de signature de code potentiellement exposés. Environ 2,3 millions d'utilisateurs macOS ont téléchargé des applications OpenAI au cours des six derniers mois, selon les analyses de l'App Store. Les certificats exposés pourraient théoriquement permettre aux attaquants de signer des applications malveillantes qui apparaîtraient légitimes aux contrôles de sécurité Gatekeeper de macOS.
Les clients d'entreprise utilisant les applications macOS d'OpenAI dans des environnements d'entreprise courent un risque particulier, car les certificats compromis pourraient permettre aux attaquants de contourner les politiques de sécurité organisationnelles qui reposent sur la vérification de la signature de code. Les organisations qui ont mis sur liste blanche les applications OpenAI en fonction de leurs signatures numériques doivent maintenant mettre à jour leurs politiques de sécurité pour tenir compte de la rotation des certificats. L'avis de sécurité de The Hacker News indique qu'aucune preuve ne suggère que les certificats ont été utilisés de manière malveillante, mais le potentiel d'abus a nécessité une révocation immédiate.
Les utilisateurs de GitHub Actions dans l'écosystème plus large courent également un risque indirect, car l'attaque démontre comment les vulnérabilités de la chaîne d'approvisionnement peuvent compromettre même les pipelines CI/CD bien sécurisés. L'incident a incité les équipes de sécurité des grandes entreprises technologiques à auditer leurs propres workflows GitHub Actions pour des vulnérabilités similaires de confusion de dépendance. Les chercheurs en sécurité estiment que plus de 15 000 dépôts GitHub utilisent des modèles de dépendance Axios similaires qui pourraient être sensibles à des attaques comparables.
Révocation des Certificats et Mesures de Sécurité Renforcées Implémentées
OpenAI a immédiatement révoqué tous les certificats de signature de code macOS potentiellement compromis et généré de nouvelles clés de signature en utilisant des modules de sécurité matériels (HSM) pour prévenir toute exposition future. L'entreprise a mis en œuvre le pinning des certificats pour leurs applications macOS et ajouté des étapes de vérification supplémentaires à leurs workflows GitHub Actions. Les utilisateurs des applications macOS d'OpenAI recevront des mises à jour automatiques avec de nouveaux certificats via le mécanisme de mise à jour standard de macOS, ne nécessitant aucune intervention manuelle.
Pour prévenir des attaques similaires, OpenAI a mis en œuvre plusieurs améliorations de sécurité dans leur pipeline de construction. Ils ont ajouté la vérification des dépendances en utilisant npm audit et le scan Snyk pour toutes les installations de packages dans les workflows GitHub Actions. L'entreprise a également mis en place une segmentation du réseau pour les environnements de construction, limitant les connexions sortantes aux seules destinations approuvées. De plus, ils ont déployé des outils de protection d'application en temps réel (RASP) pour surveiller les comportements suspects pendant le processus de construction.
Les organisations utilisant les applications macOS d'OpenAI devraient vérifier qu'elles exécutent les dernières versions avec des certificats mis à jour en vérifiant la signature numérique de l'application dans Préférences Système > Sécurité et Confidentialité. Les administrateurs informatiques peuvent utiliser l'outil en ligne de commande 'spctl' pour vérifier la validité des certificats : 'spctl -a -v /Applications/ChatGPT.app' affichera les informations de signature actuelles. Les entreprises devraient également revoir leurs politiques de mise sur liste blanche des applications et les mettre à jour pour reconnaître les nouveaux certificats OpenAI tout en supprimant la confiance pour ceux révoqués.
L'incident a incité OpenAI à renforcer leurs pratiques de sécurité de la chaîne d'approvisionnement, y compris la mise en œuvre de la génération de la nomenclature logicielle (SBOM) pour toutes les constructions et l'exigence d'une approbation multipartite pour les mises à jour de dépendances. Ils ont également établi un programme de primes aux bugs spécifiquement axé sur les vulnérabilités de la chaîne d'approvisionnement, offrant des récompenses allant jusqu'à 100 000 $ pour les découvertes critiques. Les équipes de sécurité de l'industrie utilisent cet incident comme étude de cas pour améliorer leurs propres postures de sécurité CI/CD et pratiques de gestion des dépendances.
