Un grave attacco informatico ha colpito la celebre libreria open source Axios, uno dei componenti software più diffusi in circolazione con oltre 100 milioni di scaricamenti ogni settimana. Tra le vittime dell'operazione malevola figurava anche OpenAI. Secondo quanto emerso da investigazioni condotte dai ricercatori di Google, il gruppo di cybercriminali UNC1069, con base in Corea del Nord, ha manomesso la versione 1.14.1 del pacchetto npm introducendovi una dipendenza dannosa denominata plain-crypto-js. Questo componente fungeva da vettore di distribuzione per la backdoor WAVESHAPER.V2, capace di infettare indistintamente Windows, macOS e Linux.
OpenAI ha confermato che uno dei suoi flussi di lavoro su GitHub Actions, specificamente impiegato per la firma digitale delle applicazioni destinate a macOS tra cui ChatGPT Desktop, Codex, Codex CLI e Atlas, ha involontariamente scaricato ed eseguito la variante corrotta di Axios. Secondo l'analisi dell'incidente condotta dalla società californiana, il certificato di firma presente nel processo automatizzato non è stato sottratto dai criminali informatici. Pur in assenza di prove concrete di un furto, OpenAI ha deciso preventivamente di revocare il certificato per escludere rischi futuri.
Le verifiche svolte dall'azienda non hanno rivelato alcuna sottrazione di informazioni appartenenti agli utenti, né evidenze di compromissione dei sistemi interni o del patrimonio intellettuale aziendale. Nemmeno il codice delle applicazioni risulta essere stato alterato. A seguito della revoca del certificato, gli utenti sono invitati a scaricare le versioni aggiornate: ChatGPT Desktop 1.2026.051, Codex 26.406.40811, Codex CLI 0.119.0 e Atlas 1.2026.84.2. Dal prossimo 8 maggio, tutte le versioni precedenti cesseranno di ricevere aggiornamenti.
OpenAI ribadisce l'importanza di esercitare cautela durante la navigazione online, suggerendo agli utenti di evitare di cliccare su link pervenuti tramite posta elettronica, messaggistica istantanea o pubblicati su piattaforme di terze parti. Nel caso in cui i criminali avessero utilizzato il certificato revocato per sottoscrivere applicazioni contraffatte, il sistema operativo macOS avrebbe mostrato un messaggio di allarme al momento del download o dell'esecuzione del file. Gli utenti non devono assolutamente ignorare tali avvisi di sicurezza.
Questo episodio rappresenta un ennesimo esempio di quanto siano vulnerabili le catene di fornitura software globali agli attacchi sofisticati. Pur rappresentando una battuta d'arresto per OpenAI, la tempestività della risposta e l'assenza di danni concreti suggeriscono che le misure di sicurezza hanno funzionato efficacemente nel contenere l'incidente.
