OpenAI reveló un flujo de trabajo de GitHub Actions utilizado para firmar sus aplicaciones macOS, que descargó la biblioteca maliciosa Axios el 31 de marzo, pero señaló que ningún dato del usuario ni sistema interno se vio comprometido.

«Por precaución, estamos tomando medidas para proteger el proceso que certifica que nuestras aplicaciones macOS son aplicaciones OpenAI legítimas», OpenAI dicho en una publicación la semana pasada. «No encontramos evidencia de que se haya accedido a los datos de los usuarios de OpenAI, de que nuestros sistemas o propiedad intelectual se hayan visto comprometidos, o de que nuestro software haya sido alterado».

La divulgación se produce poco más de una semana después de que Google Threat Intelligence Group (GTIG) atribuyera el compromiso de la cadena de suministro del popular paquete npm a un grupo de hackers norcoreano al que rastrea como UNC1069.

El ataque permitió a los actores de amenazas secuestrar la cuenta npm del mantenedor del paquete para impulsar dos versiones envenenadas, 1.14.1 y 0.30.4, que venían integradas con una dependencia maliciosa llamada «plain-crypto-js», que implementaba una puerta trasera multiplataforma llamada WAVESHAPER.V2 para infectar sistemas Windows, macOS y Linux.

La compañía de inteligencia artificial (IA) dijo que un flujo de trabajo de GitHub Actions que utiliza como parte de su proceso de firma de aplicaciones macOS descargó y ejecutó la versión 1.14.1 de Axios. Añadió que el flujo de trabajo tenía acceso a un certificado y material de certificación notarial utilizado para firmar ChatGPT Desktop, Codex, Codex CLI y Atlas.

«Nuestro análisis del incidente concluyó que el certificado de firma presente en este flujo de trabajo probablemente no fue filtrado con éxito por la carga útil maliciosa debido al momento de ejecución de la carga útil, la inyección del certificado en el trabajo, la secuenciación del trabajo en sí y otros factores mitigantes», dijo la compañía.

A pesar de no encontrar evidencia de filtración de datos, OpenAI dijo que está tratando el certificado como comprometido y que lo está revocando y rotando. Como resultado, las versiones anteriores de todas sus aplicaciones de escritorio macOS ya no recibirán actualizaciones ni soporte a partir del 8 de mayo de 2026.

Esto también significa que las aplicaciones firmadas con el certificado anterior serán bloqueadas por las protecciones de seguridad de macOS de forma predeterminada, impidiendo que se descarguen o inicien. Las primeras versiones firmadas con su certificado actualizado se enumeran a continuación:

• Escritorio ChatGPT – 1.2026.071
• Aplicación del Códice: 26.406.40811
• CLI del Códice – 0.119.0
• Atlas – 1.2026.84.2

Como parte de sus esfuerzos de remediación, OpenAI también está trabajando con Apple para garantizar que el software firmado con el certificado anterior no pueda volver a certificarse ante notario. La ventana de 30 días hasta el 8 de mayo de 2026 es una forma de minimizar las interrupciones para los usuarios y darles tiempo suficiente para asegurarse de que estén actualizados a la última versión, señaló.

«En el caso de que un actor malintencionado comprometiera con éxito el certificado, podría usarlo para firmar su propio código, haciéndolo aparecer como software OpenAI legítimo», dijo OpenAI. «Hemos detenido las certificaciones notariales de software nuevo utilizando el certificado antiguo, por lo que el software nuevo firmado con el certificado antiguo por un tercero no autorizado sería bloqueado de forma predeterminada por las protecciones de seguridad de macOS a menos que un usuario las omita explícitamente».

Dos ataques a la cadena de suministro sacuden la marcha

La violación de Axios, una de las bibliotecas cliente HTTP más utilizadas, fue uno de los dos principales ataques a la cadena de suministro que tuvieron lugar en marzo y dirigidos al ecosistema de código abierto. El otro incidente dirigido triviaun escáner de vulnerabilidades mantenido por Aqua Security, lo que resultó en impactos en cascada en cinco ecosistemas, lo que afecta a otras bibliotecas populares que dependen de él.

El ataque, obra de un grupo cibercriminal llamado TeamPCP (también conocido como UNC6780), implementó un ladrón de credenciales denominado SANDCLOCK que facilitó la extracción de datos confidenciales de entornos de desarrolladores. Posteriormente, los actores de amenazas utilizaron las credenciales robadas como arma para comprometer los paquetes npm e impulsar un gusano autopropagante llamado gusano de bote.

Días después, el equipo utilizó secretos robados de la intrusión Trivy para inyectar el mismo malware en dos flujos de trabajo de GitHub Actions mantenidos por Checkmarx. Luego, los actores de amenazas continuaron publicando versiones maliciosas de LiteLLM y Telnyx al índice de paquetes de Python (PyPI), los cuales utilizan Trivy en su canal de CI/CD.

«El compromiso de Telnyx indica un cambio continuo en las técnicas utilizadas en la actividad de la cadena de suministro de TeamPCP, con ajustes en las herramientas, los métodos de entrega y la cobertura de la plataforma», Trend Micro dicho en un análisis del ataque.

«En solo ocho días, el actor ha pasado por escáneres de seguridad, infraestructura de inteligencia artificial y ahora herramientas de telecomunicaciones, evolucionando su entrega desde Base64 en línea a la ejecución automática de .pth y, en última instancia, a la esteganografía WAV de archivos divididos, al tiempo que se expande desde solo Linux a la orientación de plataforma dual con persistencia de Windows».

En sistemas windowsel truco del SDK de Python de Telnyx dio como resultado la implementación de un ejecutable llamado «msbuild.exe» que emplea varias técnicas de ofuscación para evadir la detección y extrae DonutLoader, un cargador de código shell, de una imagen PNG presente dentro del binario para cargar un troyano con todas las funciones y un faro asociado con AdaptixC2, un marco de comando y control (C2) de código abierto.

Varios proveedores de ciberseguridad han publicado análisis adicionales de la campaña, ahora identificada como CVE-2026-33634:

Es posible que el compromiso de la cadena de suministro de TeamPCP haya llegado a su fin, pero desde entonces el grupo ha cambiado su enfoque hacia la monetización de las cosechas de credenciales existentes al asociarse con otros grupos con motivación financiera como Vect, LAPSUS$ y ShinyHunters. La evidencia indica que el actor de amenazas también lanzó una operación de ransomware patentada bajo el nombre de CipherForce.

Estos esfuerzos se han complementado con el uso de los datos robados por parte de TeamPCP para acceder a entornos de nube y de software como servicio (SaaS), lo que marca una nueva escalada de la campaña. Con ese fin, se ha descubierto que la banda de ciberdelincuentes verifica las credenciales robadas utilizando TruffleHog, lanza operaciones de descubrimiento dentro de las 24 horas posteriores a la validación, extrae más datos e intenta realizar movimientos laterales para obtener acceso a la red más amplia.

«Las credenciales y los secretos robados en los compromisos de la cadena de suministro se validaron rápidamente y se utilizaron para explorar los entornos de las víctimas y extraer datos adicionales», investigadores de Wiz. dicho. «Si bien la velocidad a la que se utilizaron sugiere que fue obra de los mismos actores de amenazas responsables de las operaciones de la cadena de suministro, no podemos descartar que los secretos se compartan con otros grupos y sean utilizados por ellos».

Los ataques se propagan a través de las dependencias

Google tiene prevenido que «cientos de miles de secretos robados» podrían estar circulando como resultado de los ataques de Axios y Trivy, alimentando más ataques a la cadena de suministro de software, compromisos del entorno SaaS, eventos de ransomware y extorsión, y robo de criptomonedas en el corto plazo.

Dos organizaciones que han confirmado un compromiso a través del ataque a la cadena de suministro de Trivy son una startup de capacitación en datos de inteligencia artificial (IA). Mercor y el Comisión Europea. Si bien la compañía no ha compartido detalles sobre el impacto, el grupo de extorsión LAPSUS$ incluyó a Mercor en su sitio de filtración, afirmando haber extraído alrededor de 4 TB de datos. La violación de Mercor ha llevado a Meta a pausar su trabajo con la empresa, según un informe de CABLEADO.

A principios de este mes, CERT-EU reveló que los actores de amenazas utilizaron el secreto robado de AWS para extraer datos del entorno de nube de la Comisión. Esto incluía datos relacionados con sitios web alojados para hasta 71 clientes del servicio de alojamiento web Europa y comunicaciones salientes por correo electrónico. Desde entonces, el grupo ShinyHunters ha publicado públicamente el conjunto de datos exfiltrado en su sitio de filtración en la web oscura.

GitGuardian análisis Una investigación de los ataques a la cadena de suministro de Trivy y LiteLLM y su propagación a través de dependencias y canales de automatización ha descubierto que 474 repositorios públicos ejecutaron código malicioso del flujo de trabajo «trivy-action» comprometido y 1.750 paquetes de Python se configuraron de una manera que extraería automáticamente las versiones envenenadas.

«TeamPCP está apuntando deliberadamente a herramientas de seguridad que se ejecutan con privilegios elevados por diseño. Comprometerlas le da al atacante acceso a algunos de los entornos más sensibles de la organización, porque las herramientas de seguridad generalmente tienen un amplio acceso por diseño», Brett Leatherman, subdirector de la División Cibernética de la Oficina Federal de Investigaciones (FBI) de EE. UU., escribió en LinkedIn.

Los incidentes en la cadena de suministro son peligrosos porque apuntan a la confianza inherente que asumen los desarrolladores al descargar paquetes y dependencias de repositorios de código abierto. «La confianza se asumió donde debería haberse verificado», dijo Mark Lechner, director de seguridad de la información de Docker. dicho.

«Las organizaciones que superaron estos incidentes con daños mínimos ya habían comenzado a reemplazar la confianza implícita con verificación explícita en cada capa de su pila: imágenes base verificadas en lugar de extracciones de la comunidad, referencias fijadas en lugar de etiquetas mutables, credenciales de alcance y de corta duración en lugar de tokens de larga duración, y entornos de ejecución de espacio aislado en lugar de corredores de CI abiertos».

Tanto los mantenedores de Docker como los de Python Package Index (PyPI) tienen delineado una larga lista de recomendaciones que los desarrolladores pueden implementar para contrarrestar este tipo de ataques:

• Fije paquetes mediante resumen o confirme SHA en lugar de etiquetas mutables.
• Utilice imágenes reforzadas de Docker (DHI).
• Aplique la configuración de edad mínima de lanzamiento para retrasar la adopción de nuevas versiones para actualizaciones de dependencia.
• Trate a cada corredor de CI como un posible punto de infracción y evite los activadores pull_request_targe en GitHub Actions a menos que sea absolutamente necesario.
• Utilice credenciales de corta duración y de alcance limitado.
• Utilice un espejo interno o un proxy de artefacto.
• Implemente tokens canary para recibir alertas sobre posibles intentos de exfiltración.
• Entorno de auditoría para secretos codificados.
• Ejecute agentes de codificación de IA en entornos aislados.
• Utilice publicaciones confiables para enviar paquetes a npm y PyPI.
• Asegure el proceso de desarrollo de código abierto con autenticación de dos factores (2FA).

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también ha agregado CVE-2026-33634 a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las mitigaciones necesarias antes del 9 de abril de 2026.

«El número de ataques recientes a la cadena de suministro de software es abrumador», dijo Charles Carmakal, director de tecnología de Mandiant Consulting en Google. dicho. «Los defensores deben prestar mucha atención a estas campañas. Las empresas deberían poner en marcha proyectos específicos para evaluar el impacto existente, remediarlo y protegerlo contra futuros ataques».

Investigadores de ciberseguridad han descubierto un paquete npm malicioso que se hace pasar por un instalador de OpenClaw para implementar un troyano de acceso remoto (RAT) y robar datos confidenciales de hosts comprometidos.

El paquete, llamado «@openclaw-ai/openclawai,» fue subido al registro por un usuario llamado «openclaw-ai» el 3 de marzo de 2026. Se ha descargado 178 veces hasta la fecha. La biblioteca todavía está disponible para descargar en el momento de escribir este artículo.

JFrog, que descubrió el paquete, dijo que está diseñado para robar credenciales del sistema, datos del navegador, billeteras criptográficas, claves SSH, bases de datos de Apple Keychain e historial de iMessage, así como para instalar un RAT persistente con capacidades de acceso remoto, proxy SOCKS5 y clonación de sesiones de navegador en vivo.

«El ataque se destaca por su amplia recopilación de datos, su uso de ingeniería social para obtener la contraseña del sistema de la víctima y la sofisticación de su persistencia y C2. [command-and-control] infraestructura», dijo el investigador de seguridad Meitar Palas dicho. «Internamente, el malware se identifica como GhostLoader».

La lógica maliciosa se activa mediante un gancho postinstalación, que reinstala el paquete globalmente usando el comando: «npm i -g @openclaw-ai/openclawai». Una vez completada la instalación, el binario de OpenClaw apunta a «scripts/setup.js» mediante la propiedad «bin» en el archivo «package.json».

Vale la pena señalar que el «papelera«El campo se utiliza para definir archivos ejecutables que deben agregarse a la RUTA del usuario durante la instalación del paquete. Esto, a su vez, convierte el paquete en una herramienta de línea de comandos accesible globalmente.

El archivo «setup.js» sirve como cuentagotas de primera etapa que, al ejecutarse, muestra una convincente interfaz de línea de comandos falsa con barras de progreso animadas para dar la impresión de que OpenClaw se está instalando en el host. Una vez completado el supuesto paso de instalación, el script muestra un mensaje de autorización falso del llavero iCloud, solicitando a los usuarios que ingresen su contraseña del sistema.

Simultáneamente, el script recupera una carga útil JavaScript cifrada de segunda etapa del servidor C2 («trackpipe[.]dev»), que luego se decodifica, se escribe en un archivo temporal y se genera como un proceso secundario separado para continuar ejecutándose en segundo plano. El archivo temporal se elimina después de 60 segundos para cubrir los rastros de la actividad.

«Si no se puede acceder al directorio de Safari (no hay acceso completo al disco), el script muestra un cuadro de diálogo de AppleScript que insta al usuario a otorgar FDA a la Terminal, completo con instrucciones paso a paso y un botón que abre Preferencias del Sistema directamente», explicó JFrog. «Esto permite que la carga útil de la segunda etapa robe notas de Apple, iMessage, historial de Safari y datos de correo».

La segunda etapa de JavaScript, que cuenta con alrededor de 11,700 líneas, es un ladrón de información completo y un marco RAT que es capaz de persistencia, recopilación de datos, descifrado del navegador, comunicación C2, un proxy SOCKS5 y clonación en vivo del navegador. También está equipado para robar una amplia gama de datos.

• Llavero macOS, incluidas las bases de datos login.keychain-db local y todas las bases de datos de llavero iCloud
• Credenciales, cookies, tarjetas de crédito y datos de autocompletar de todos los navegadores basados ​​en Chromium, como Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, Yandex y Comet.
• Datos de aplicaciones de billetera de escritorio y extensiones de navegador
• Frases iniciales de billetera de criptomonedas
• Claves SSH
• Credenciales de desarrollador y de nube para AWS, Microsoft Azure, Google Cloud, Kubernetes, Docker y GitHub
• Configuraciones de agentes de inteligencia artificial (IA), y
• Datos protegidos por la FDA, incluidas Apple Notes, historial de iMessage, historial de navegación de Safari, configuraciones de cuentas de correo e información de cuentas de Apple

En la etapa final, los datos recopilados se comprimen en un archivo tar.gz y se filtran a través de múltiples canales, incluso directamente al servidor C2, Telegram Bot API y GoFile.io.

Es más, el malware entra en un modo demonio persistente que le permite monitorear el contenido del portapapeles cada tres segundos y transmitir cualquier dato que coincida con uno de los nueve patrones predefinidos correspondientes a claves privadas. clave WIFclave privada SOL, clave privada RSA, dirección BTC, dirección Ethereum, clave AWS, clave OpenAI y clave Strike.

Otras características incluyen controlar los procesos en ejecución, escanear los chats entrantes de iMessage en tiempo real y ejecutar comandos enviados desde el servidor C2 para ejecutar un comando de shell arbitrario, abrir una URL en el navegador predeterminado de la víctima, descargar cargas útiles adicionales, cargar archivos, iniciar/detener un proxy SOCKS5, enumerar los navegadores disponibles, clonar un perfil de navegador e iniciarlo en modo sin cabeza, detener la clonación del navegador, autodestruirse y actualizarse.

La función de clonación del navegador es particularmente peligrosa ya que inicia una instancia de Chromium sin cabeza con el perfil del navegador existente que contiene cookies, datos de inicio de sesión y de historial. Esto le brinda al atacante una sesión de navegador completamente autenticada sin necesidad de acceder a credenciales.

«El paquete @openclaw-ai/openclawai combina ingeniería social, entrega de carga útil cifrada, amplia recopilación de datos y una RAT persistente en un único paquete npm», dijo JFrog.

«El instalador de CLI falso y pulido y el mensaje de Llavero son lo suficientemente convincentes como para extraer contraseñas del sistema de desarrolladores cautelosos, y una vez capturadas, esas credenciales desbloquean el descifrado de Llavero de macOS y la extracción de credenciales del navegador que de otro modo serían bloqueadas por protecciones a nivel de sistema operativo».

Investigadores de ciberseguridad han revelado detalles de un módulo Go malicioso diseñado para recopilar contraseñas, crear acceso persistente a través de SSH y ofrecer una puerta trasera de Linux llamada Rekoobe.

El módulo Go, github[.]com/xinfeisoft/crypto, se hace pasar por el código base legítimo «golang.org/x/crypto», pero inyecta código malicioso responsable de filtrar secretos ingresados ​​a través de solicitudes de contraseña del terminal a un punto final remoto, obtiene un script de shell en respuesta y lo ejecuta.

«Esta actividad encaja con la confusión del espacio de nombres y la suplantación del subrepositorio legítimo golang.org/x/crypto (y su espejo de GitHub github.com/golang/crypto)», Kirill Boychenko, investigador de seguridad de Socket dicho. «El proyecto legítimo identifica go.googlesource.com/crypto como canónico y trata a GitHub como un espejo, una distinción que el actor de amenazas abusa para hacer que github.com/xinfeisoft/crypto parezca rutinario en los gráficos de dependencia».

Específicamente, la puerta trasera se ha colocado dentro del archivo «ssh/terminal/terminal.go», de modo que cada vez que una aplicación víctima invoca ReadPassword() (una función supuestamente destinada a leer entradas como contraseñas desde una terminal) hace que esa información capture secretos interactivos.

La principal responsabilidad del script descargado es funcionar como un escenario de Linux, agregando la clave SSH de un actor de amenazas al archivo «/home/ubuntu/.ssh/authorized_keys», configurando las políticas predeterminadas de iptables en ACEPTAR en un intento de aflojar las restricciones del firewall y recuperando cargas útiles adicionales de un servidor externo mientras las disfrazan con la extensión .mp5.

De las dos cargas útiles, una es un asistente que prueba la conectividad a Internet e intenta comunicarse con una dirección IP («154.84.63[.]184») a través del puerto TCP 443. El programa probablemente funcione como un reconocimiento o cargador, señaló Socket.

Se ha evaluado que la segunda carga útil descargada es Rekoobe, un conocido troyano de Linux que ha sido detectado en la naturaleza. desde al menos 2015. El Puerta trasera es capaz de recibir comandos de un servidor controlado por un atacante para descargar más cargas útiles, robar archivos y ejecutar un shell inverso. En agosto de 2023, grupos de estados-nación chinos como APT31 han utilizado Rekoobe.

Mientras el paquete todavía permanece en la lista En pkg.go.dev, el equipo de seguridad de Go ha tomado medidas para bloquear el paquete como malicioso.

«Esta campaña probablemente se repetirá porque el patrón requiere poco esfuerzo y alto impacto: un módulo similar que conecta un límite de alto valor (ReadPassword), usa GitHub Raw como puntero giratorio, luego gira hacia curl | sh staging y entrega de carga útil de Linux», dijo Boychenko.

«Los defensores deben anticipar ataques similares a la cadena de suministro dirigidos a otras bibliotecas de ‘borde de credenciales’ (ayudantes de SSH, solicitudes de autenticación CLI, conectores de bases de datos) y más indirección a través de superficies de alojamiento para rotar la infraestructura sin volver a publicar el código».

Investigadores de ciberseguridad han revelado detalles de un nuevo paquete malicioso descubierto en la Galería NuGet, que se hace pasar por una biblioteca de la empresa de servicios financieros Stripe en un intento de apuntar al sector financiero.

El paquete, cuyo nombre en código es StripeApi.Net, intenta hacerse pasar por raya.netuna biblioteca legítima de Stripe que cuenta con más de 75 millones de descargas. Fue subido por un usuario llamado StripePayments el 16 de febrero de 2026. El paquete ya no está disponible.

«La página NuGet para el paquete malicioso está configurada para parecerse lo más posible al paquete oficial Stripe.net», ReversingLabs Petar Kirhmajer dicho. «Utiliza el mismo ícono que el paquete legítimo y contiene un archivo Léame casi idéntico, solo intercambia las referencias a ‘Stripe.net’ para que diga ‘Stripe-net’».

En un esfuerzo adicional por dar credibilidad al paquete con errores tipográficos, se dice que el actor de amenazas detrás de la campaña infló artificialmente el recuento de descargas a más de 180.000. Pero en un giro interesante, las descargas se dividieron en 506 versiones, y cada versión registró unas 300 descargas en promedio.

El paquete replica algunas de las funciones del paquete Stripe legítimo, pero también modifica ciertos métodos críticos para recopilar y transferir datos confidenciales, incluido el token API de Stripe del usuario, al actor de la amenaza. Dado que el resto de las bases de código siguen siendo completamente funcionales, es poco probable que atraiga sospechas de desarrolladores desprevenidos que puedan haberlo descargado sin darse cuenta.

ReversingLabs dijo que descubrió e informó sobre el paquete «relativamente pronto» después de su lanzamiento inicial, lo que provocó que lo tomaran antes de que pudiera causar daños graves.

La empresa de seguridad de la cadena de suministro de software también señaló que la actividad marca un cambio con respecto a campañas anteriores que aprovecharon paquetes NuGet falsos para apuntar al ecosistema de criptomonedas y facilitar el robo de claves de billetera.

«Los desarrolladores que por error descarguen e integren una biblioteca con errores tipográficos como StripeAPI.net aún tendrán sus aplicaciones compiladas exitosamente y funcionarán según lo previsto», dijo Kirhmajer. «Los pagos se procesarían normalmente y, desde la perspectiva del desarrollador, nada parecería roto. Sin embargo, en el fondo, actores maliciosos copian y filtran en secreto datos confidenciales».