OpenAI Merotasi Sertifikat macOS Setelah Serangan Rantai Pasokan Axios

Iris Coleman 15 Apr 2026 02:02

OpenAI merespons kompromi npm Axios yang terkait dengan Korea Utara dengan merotasi sertifikat penandatanganan kode. Pengguna macOS harus memperbarui aplikasi ChatGPT dan Codex sebelum 8 Mei.

OpenAI Merotasi Sertifikat macOS Setelah Serangan Rantai Pasokan Axios

OpenAI memaksa semua pengguna macOS untuk memperbarui aplikasi desktop mereka setelah alur kerja penandatanganan aplikasi perusahaan terpapar serangan rantai pasokan Axios—kompromi yang dikaitkan dengan aktor ancaman Korea Utara yang menyerang pustaka JavaScript populer pada 31 Maret 2026.

Raksasa AI ini mengatakan tidak menemukan bukti bahwa data pengguna diakses atau perangkat lunaknya dirusak. Namun perusahaan tidak mengambil risiko: perusahaan memperlakukan sertifikat penandatanganan kode macOS-nya sebagai terkompromi dan mencabutnya sepenuhnya pada 8 Mei 2026.

Apa yang Sebenarnya Terjadi

Ketika Axios versi 1.14.1 yang terkompromi dirilis di npm pada 31 Maret, alur kerja GitHub Actions yang digunakan OpenAI untuk penandatanganan aplikasi macOS mengunduh dan mengeksekusi kode berbahaya tersebut. Alur kerja tersebut memiliki akses ke sertifikat yang digunakan untuk menandatangani ChatGPT Desktop, Codex, Codex CLI, dan Atlas—kredensial yang memberi tahu macOS "ya, perangkat lunak ini benar-benar berasal dari OpenAI."

Akar penyebabnya? Kesalahan konfigurasi. Alur kerja OpenAI merujuk Axios menggunakan tag mengambang daripada hash commit yang dipatok, dan tidak memiliki minimumReleaseAge yang dikonfigurasi untuk paket baru. Kerentanan rantai pasokan klasik.

Analisis internal OpenAI menunjukkan sertifikat penandatanganan kemungkinan tidak berhasil dieksfiltrasi karena waktu dan urutan eksekusi. Namun "kemungkinan" tidak cukup baik ketika Anda menandatangani perangkat lunak yang berjalan di jutaan mesin.

Serangan yang Lebih Luas

Kompromi Axios tidak menargetkan OpenAI secara khusus. Peneliti keamanan, termasuk tim intelijen ancaman Google, telah mengaitkan serangan tersebut dengan aktor nexus Korea Utara—kemungkinan Sapphire Sleet atau UNC1069. Para penyerang mengkompromikan akun pemelihara npm dan menyuntikkan dependensi berbahaya bernama 'plain-crypto-js' yang menerapkan RAT lintas platform yang mampu melakukan pengintaian, persistensi, dan penghancuran diri untuk menghindari deteksi.

Serangan tersebut mengenai organisasi di berbagai layanan bisnis, layanan keuangan, dan sektor teknologi secara global.

Apa yang Perlu Dilakukan Pengguna

Jika Anda menjalankan aplikasi macOS OpenAI, perbarui sekarang. Setelah 8 Mei, versi lama akan berhenti berfungsi sepenuhnya. Versi minimum yang diperlukan:

ChatGPT Desktop: 1.2026.051
Aplikasi Codex: 26.406.40811
Codex CLI: 0.119.0
Atlas: 1.2026.84.2

Unduh hanya dari sumber resmi atau melalui pembaruan dalam aplikasi. OpenAI secara eksplisit memperingatkan agar tidak menginstal apa pun dari email, iklan, atau situs pihak ketiga—saran yang masuk akal mengingat aktor jahat dengan sertifikat lama secara teoritis dapat menandatangani aplikasi palsu yang terlihat sah.

Pengguna Windows, iOS, Android, dan Linux tidak terpengaruh. Versi web juga tidak terpengaruh. Kata sandi dan kunci API tetap aman.

Mengapa Jendela 30 Hari?

OpenAI dapat mencabut sertifikat segera tetapi memilih untuk tidak melakukannya. Notarisasi baru dengan sertifikat yang terkompromi sudah diblokir, yang berarti aplikasi palsu apa pun yang ditandatangani dengannya akan gagal pemeriksaan keamanan default macOS kecuali pengguna secara manual mengabaikannya.

Penundaan tersebut memberi waktu kepada pengguna untuk memperbarui melalui saluran normal daripada bangun dengan perangkat lunak yang rusak. OpenAI mengatakan sedang memantau tanda-tanda penyalahgunaan sertifikat dan akan mempercepat pencabutan jika aktivitas berbahaya muncul.

Insiden ini menekankan bagaimana serangan rantai pasokan terus merambat melalui ekosistem perangkat lunak. Satu paket npm yang terkompromi, dan tiba-tiba OpenAI merotasi sertifikat di seluruh lini produk macOS-nya. Bagi pengembang, pelajarannya jelas: patok dependensi Anda ke commit tertentu, bukan tag mengambang.

Sumber gambar: Shutterstock