Buy CryptoMarketsSpotFuturesGOLDEarnEvent Center
More
OpenAI répond à la compromission npm d'Axios liée à la Corée du Nord en effectuant une rotation des certificats de signature de code. Les utilisateurs macOS doivent mettre à jour les applications ChatGPT et Codex avant le 8 mai. (En savoir plusOpenAI répond à la compromission npm d'Axios liée à la Corée du Nord en effectuant une rotation des certificats de signature de code. Les utilisateurs macOS doivent mettre à jour les applications ChatGPT et Codex avant le 8 mai. (En savoir plus

OpenAI effectue une rotation des certificats macOS après l'attaque de la chaîne d'approvisionnement d'Axios

Source : BlockChain News
2026/04/15 10:02
Temps de lecture : 4 min
CodexField
CODEX$18.0959+2.37%
Pour tout commentaire ou toute question concernant ce contenu, veuillez nous contacter à l'adresse suivante : [email protected]

OpenAI renouvelle ses certificats macOS après l'attaque de la chaîne d'approvisionnement Axios

Iris Coleman 15 avr. 2026 02:02

OpenAI répond à la compromission npm d'Axios liée à la Corée du Nord en renouvelant les certificats de signature de code. Les utilisateurs macOS doivent mettre à jour les applications ChatGPT et Codex avant le 8 mai.

OpenAI renouvelle ses certificats macOS après l'attaque de la chaîne d'approvisionnement Axios

OpenAI oblige tous les utilisateurs macOS à mettre à jour leurs applications de bureau après que le flux de travail de signature d'applications de l'entreprise a été exposé à l'attaque de la chaîne d'approvisionnement Axios—une compromission attribuée à des acteurs de menace nord-coréens qui a touché la bibliothèque JavaScript populaire le 31 mars 2026.

Le géant de l'IA affirme n'avoir trouvé aucune preuve d'accès aux données des utilisateurs ni d'altération malveillante de ses logiciels. Mais l'entreprise ne prend aucun risque : elle considère son certificat de signature de code macOS comme compromis et le révoque entièrement le 8 mai 2026.

Ce qui s'est réellement passé

Lorsque la version compromise d'Axios 1.14.1 a été publiée sur npm le 31 mars, un flux de travail GitHub Actions utilisé par OpenAI pour la signature d'applications macOS a téléchargé et exécuté le code malveillant. Ce flux de travail avait accès aux certificats utilisés pour signer ChatGPT Desktop, Codex, Codex CLI et Atlas—les identifiants qui indiquent à macOS « oui, ce logiciel provient bien d'OpenAI ».

La cause profonde ? Une mauvaise configuration. Le flux de travail d'OpenAI référençait Axios en utilisant une balise flottante plutôt qu'un hash de commit épinglé, et n'avait pas de minimumReleaseAge configuré pour les nouveaux packages. Une vulnérabilité classique de la chaîne d'approvisionnement.

L'analyse interne d'OpenAI suggère que le certificat de signature n'a probablement pas été exfiltré avec succès en raison du timing et de la séquence d'exécution. Mais « probablement » n'est pas suffisant lorsque vous signez un logiciel qui fonctionne sur des millions de machines.

L'attaque plus large

La compromission d'Axios ne ciblait pas spécifiquement OpenAI. Les chercheurs en sécurité, y compris l'équipe de renseignement sur les menaces de Google, ont lié l'attaque à un acteur lié à la Corée du Nord—possiblement Sapphire Sleet ou UNC1069. Les attaquants ont compromis le compte d'un mainteneur npm et injecté une dépendance malveillante appelée « plain-crypto-js » qui a déployé un RAT multiplateforme capable de reconnaissance, de persistance et d'autodestruction pour éviter la détection.

L'attaque a touché des organisations dans les secteurs des services aux entreprises, des services financiers et de la technologie à l'échelle mondiale.

Ce que les utilisateurs doivent faire

Si vous utilisez des applications OpenAI macOS, mettez à jour maintenant. Après le 8 mai, les anciennes versions cesseront complètement de fonctionner. Versions minimales requises :

  • ChatGPT Desktop : 1.2026.051
  • Application Codex : 26.406.40811
  • Codex CLI : 0.119.0
  • Atlas : 1.2026.84.2

Téléchargez uniquement depuis des sources officielles verifiées par MEXC ou via les mises à jour dans l'application. OpenAI met explicitement en garde contre l'installation de quoi que ce soit provenant d'e-mails, de publicités ou de sites tiers—un conseil judicieux étant donné qu'un acteur malveillant disposant de l'ancien certificat pourrait théoriquement signer de fausses applications qui semblent légitimes.

Les utilisateurs Windows, iOS, Android et Linux ne sont pas affectés. Les versions web non plus. Les mots de passe et les clés API restent sécurisés.

Pourquoi la fenêtre de 30 jours ?

OpenAI pourrait révoquer le certificat immédiatement mais a choisi de ne pas le faire. La nouvelle notarisation avec le certificat compromis est déjà bloquée, ce qui signifie que toute application frauduleuse signée avec celui-ci échouerait aux contrôles de sécurité par défaut de macOS à moins que les utilisateurs ne les contournent manuellement.

Le délai donne aux utilisateurs le temps de mettre à jour via les canaux normaux plutôt que de se réveiller avec un logiciel cassé. OpenAI affirme surveiller tout signe d'utilisation abusive du certificat et accélérera la révocation si une activité malveillante apparaît.

L'incident souligne comment les attaques de la chaîne d'approvisionnement continuent de se propager dans l'écosystème logiciel. Un seul package npm compromis, et soudainement OpenAI renouvelle les certificats de toute sa gamme de produits macOS. Pour les développeurs, la leçon est claire : épinglez vos dépendances à des commits spécifiques, pas à des balises flottantes.

Source de l'image : Shutterstock
  • openai
  • attaque de la chaîne d'approvisionnement
  • cybersécurité
  • axios
  • macos
Opportunité de marché
Logo de CodexField
Cours CodexField(CODEX)
$18.0959
$18.0959$18.0959
-0.11%
USD
Graphique du prix de CodexField (CODEX) en temps réel
Clause de non-responsabilité : les articles republiés sur ce site proviennent de plateformes publiques et sont fournis à titre informatif uniquement. Ils ne reflètent pas nécessairement les opinions de MEXC. Tous les droits restent la propriété des auteurs d'origine. Si vous estimez qu'un contenu porte atteinte aux droits d'un tiers, veuillez contacter [email protected] pour demander sa suppression. MEXC ne garantit ni l'exactitude, ni l'exhaustivité, ni l'actualité des contenus, et décline toute responsabilité quant aux actions entreprises sur la base des informations fournies. Ces contenus ne constituent pas des conseils financiers, juridiques ou professionnels, et ne doivent pas être interprétés comme une recommandation ou une approbation de la part de MEXC.

Vous aimerez peut-être aussi

Bitmine fait face à une perte de 3,8 milliards de dollars au T1 alors que ses avoirs en Ethereum entraînent un déclin massif non réalisé

Bitmine fait face à une perte de 3,8 milliards de dollars au T1 alors que ses avoirs en Ethereum entraînent un déclin massif non réalisé

La stratégie agressive d'accumulation d'Ethereum de Bitmine a porté un coup dur au premier trimestre, le géant du minage de cryptomonnaies ayant déclaré 3,8 milliards de dollars
Partager
Blockchainmagazine2026/04/15 11:51
Trump organise un autre Gala des Meme Coins — Le prix d'accès VIP a chuté de 90 %

Trump organise un autre Gala des Meme Coins — Le prix d'accès VIP a chuté de 90 %

L'article Trump organise un autre gala de Meme Coin — Le prix d'accès VIP a chuté de 90 % est paru sur BitcoinEthereumNews.com. En bref Les VIP pour le dernier mème TRUMP
Partager
BitcoinEthereumNews2026/04/15 12:39
SOL, ADA, DOGE en repli, le bitcoin se maintient au-dessus de 74 000 $ alors que l'Asie récupère les pertes liées à la guerre en Iran

SOL, ADA, DOGE en repli, le bitcoin se maintient au-dessus de 74 000 $ alors que l'Asie récupère les pertes liées à la guerre en Iran

L'article SOL, ADA, DOGE pullback, le bitcoin se maintient au-dessus de 74 000 $ alors que l'Asie récupère les pertes de la guerre en Iran est paru sur BitcoinEthereumNews.com. Le Bitcoin s'est maintenu au-dessus de 74 000 $ le
Partager
BitcoinEthereumNews2026/04/15 12:21

Actualités tendance

Plus

Warsh, candidat à la Fed lié aux cryptos, se dirige vers une confrontation cruciale au Sénat

Alerte Crypto : Le Site CoWSwap Signalé Malveillant Après une Tentative de Piratage

5 stratégies simples de poker en ligne qui fonctionnent encore aujourd'hui

« Extrêmement bonne nouvelle » – La dynamique DeFi de XRP se renforce alors que la SEC assouplit sa position sur les interfaces

[Ask the Tax Whiz] Le gouvernement Marcos devrait-il réduire la TVA de 12 à 10 % pour atténuer l'inflation ?

Actualités en direct 24h/24 et 7j/7

Plus

Préoccupations liées à l’or signalées, implications potentielles pour le sentiment du marché XAUT.

Auteur : DEG14:06

RAVE se classe comme la première cryptomonnaie tendance aujourd’hui, indiquant une attention accrue du marché et une activité potentiellement en hausse.

Auteur : Nehal13:51

Les revenus de TRON au premier trimestre 2026 ont atteint 82,69 M$, et la TVL a atteint 5,115 Md$, le plaçant au deuxième rang parmi les blockchains.

Auteur : Lookonchain12:50

Les revenus de TRON au premier trimestre 2026 ont atteint 82,69 M$ ; la TVL a atteint 4,52 Md$, se classant au deuxième rang parmi les blockchains.

Auteur : Lookonchain12:14

La plus grande banque privée de Turquie s’associe à Ripple ; le Japon et la Corée du Sud se concentrent sur l’extension de la liquidité à l’échelle mondiale.

Auteur : Ripple Bull Winkle | Crypto Researcher 🚀🚨09:02

Prix des cryptomonnaies

Logo de Bitcoin

Bitcoin

BTC

$74,013.94
$74,013.94$74,013.94

-1.74%

Logo de Ethereum

Ethereum

ETH

$2,320.13
$2,320.13$2,320.13

-1.88%

Logo de USDCoin

USDCoin

USDC

$0.9994
$0.9994$0.9994

-0.01%

Logo de Solana

Solana

SOL

$83.05
$83.05$83.05

-3.38%

Logo de XRP

XRP

XRP

$1.3571
$1.3571$1.3571

-1.28%

0 frais + 12 % de TAEG

0 frais + 12 % de TAEG0 frais + 12 % de TAEG

Nouveaux utilisateurs : TAEG 600 %. Durée limitée !