OpenAI Cabut Sertifikat macOS Setelah Insiden Rantai Pasokan Axios Berbahaya
OpenAI mencabut sertifikat aplikasi macOS miliknya setelah terjadinya insiden rantai pasokan yang melibatkan pustaka Axios berbahaya pada 31 Maret 2026. Langkah ini dilakukan sebagai tindakan pencegahan untuk menghindari potensi penyalahgunaan perangkat lunak dan menjaga keaslian aplikasi mereka.
Insiden Rantai Pasokan Axios dan Dampaknya pada OpenAI
OpenAI mengungkapkan bahwa sebuah GitHub Actions workflow yang digunakan untuk menandatangani aplikasi macOS mereka secara tidak sengaja mengunduh pustaka Axios versi 1.14.1 yang telah terinfeksi malware. Meski demikian, perusahaan menegaskan tidak ada data pengguna atau sistem internal yang berhasil diakses atau dikompromikan.
"Sebagai langkah kehati-hatian, kami mengambil tindakan untuk melindungi proses yang memastikan aplikasi macOS kami adalah aplikasi OpenAI yang sah," ujar OpenAI dalam sebuah unggahan resmi. "Kami tidak menemukan bukti bahwa data pengguna OpenAI diakses, sistem atau properti intelektual kami dikompromikan, atau perangkat lunak kami diubah."
Serangan ini terungkap setelah Google Threat Intelligence Group (GTIG) mengaitkan kompromi rantai pasokan paket npm populer Axios dengan kelompok peretas asal Korea Utara yang dikenal sebagai UNC1069. Kelompok ini berhasil menguasai akun pemelihara paket npm Axios dan menyebarkan dua versi berbahaya, yaitu 1.14.1 dan 0.30.4, yang mengandung dependensi jahat bernama "plain-crypto-js". Dependensi ini memasang backdoor lintas platform bernama WAVESHAPER.V2 yang dapat menginfeksi sistem Windows, macOS, dan Linux.
Langkah OpenAI Melindungi Pengguna
Proses workflow GitHub Actions yang digunakan OpenAI memiliki akses ke sertifikat dan materi notarisasi yang dipakai untuk menandatangani aplikasi seperti ChatGPT Desktop, Codex, Codex CLI, dan Atlas. Namun, analisis internal OpenAI menyimpulkan bahwa sertifikat tersebut kemungkinan tidak berhasil dicuri oleh malware karena urutan eksekusi dan faktor mitigasi lain.
Meski tidak ditemukan bukti pencurian data, OpenAI tetap menganggap sertifikat tersebut telah dikompromikan, sehingga mereka mencabut dan menggantinya. Akibatnya, versi lama dari semua aplikasi macOS mereka tidak akan mendapatkan pembaruan atau dukungan setelah tanggal 8 Mei 2026.
Selain itu, aplikasi yang ditandatangani menggunakan sertifikat lama akan secara otomatis diblokir oleh sistem keamanan macOS, sehingga tidak dapat diunduh atau dijalankan. Versi aplikasi yang sudah menggunakan sertifikat baru antara lain:
- ChatGPT Desktop - 1.2026.071
- Codex App - 26.406.40811
- Codex CLI - 0.119.0
- Atlas - 1.2026.84.2
OpenAI juga bekerja sama dengan Apple untuk memastikan perangkat lunak yang ditandatangani dengan sertifikat lama tidak dapat dinotarisasi ulang, memberikan pengguna waktu 30 hari sampai 8 Mei 2026 untuk melakukan pembaruan tanpa gangguan besar.
"Jika sertifikat tersebut benar-benar berhasil dikompromikan oleh aktor jahat, mereka bisa menggunakannya untuk menandatangani kode berbahaya sehingga terlihat seperti perangkat lunak resmi OpenAI," jelas OpenAI. "Kami telah menghentikan notarisasi perangkat lunak baru menggunakan sertifikat lama, sehingga perangkat lunak baru yang ditandatangani oleh pihak tidak berwenang akan otomatis diblokir oleh perlindungan macOS kecuali pengguna secara eksplisit melewati pengaman tersebut."
Dua Serangan Rantai Pasokan Besar Maret 2026
Serangan pada Axios merupakan salah satu dari dua serangan rantai pasokan besar yang mengguncang ekosistem open-source pada Maret 2026. Insiden lain menargetkan Trivy, alat pemindai kerentanan yang dikelola oleh Aqua Security, yang menyebabkan efek berantai di lima ekosistem perangkat lunak dan memengaruhi banyak pustaka populer lainnya.
Kelompok kriminal siber bernama TeamPCP (alias UNC6780) bertanggung jawab atas serangan Trivy. Mereka menggunakan credential stealer bernama SANDCLOCK untuk mengambil data sensitif dari lingkungan pengembang, lalu memanfaatkan kredensial itu untuk mengompromikan paket npm dan menyebarkan cacing bernama CanisterWorm.
Tak lama setelah itu, mereka menggunakan kredensial curian untuk menyuntikkan malware ke dalam dua workflow GitHub Actions yang dikelola oleh Checkmarx. Malware yang sama juga disebarkan melalui paket LiteLLM dan Telnyx di Python Package Index (PyPI).
Trend Micro dalam analisanya menyebut perubahan teknik yang digunakan TeamPCP, termasuk pengembangan metode penyebaran dan perluasan target platform dari Linux ke Windows.
Analisis Redaksi
Menurut pandangan redaksi, insiden ini menegaskan betapa rentannya rantai pasokan perangkat lunak modern terhadap serangan yang sangat canggih dan terkoordinasi. OpenAI sebagai perusahaan AI terkemuka harus mengambil tindakan tegasSerangan ini juga menyoroti perlunya pengembang dan organisasi untuk tidak mengandalkan kepercayaan implicit pada paket open-source tanpa verifikasi yang ketat. Praktik seperti penggunaan pinned dependencies, pembatasan kredensial, dan lingkungan eksekusi yang terisolasi menjadi kunci dalam mengurangi risiko rantai pasokan yang berbahaya.
Kedepannya, publik dan pelaku industri harus waspada terhadap potensi serangan lanjutan yang menggunakan kredensial dan akses yang dicuri untuk merambah lebih dalam ke sistem cloud dan SaaS. Koordinasi antara perusahaan teknologi dan lembaga keamanan menjadi sangat penting untuk mempercepat deteksi, mitigasi, dan edukasi pengembang mengenai keamanan rantai pasokan.
Rekomendasi dan Tindakan Pencegahan
Berbagai vendor keamanan dan platform pengelola paket seperti Docker dan PyPI telah memberi rekomendasi penting yang dapat diadopsi pengembang, antara lain:
- Pin paket menggunakan digest atau commit SHA daripada tag yang mudah berubah.
- Gunakan Docker Hardened Images dan penerapan kebijakan pembaruan yang ketat.
- Batasi kredensial agar bersifat sementara dan memiliki ruang lingkup yang sempit.
- Jalankan agen AI dan proses build dalam lingkungan sandboxed untuk mengurangi risiko.
- Gunakan autentikasi dua faktor (2FA) untuk pengelolaan paket dan akses ke repositori.
- Pasang token canary untuk mendeteksi upaya eksfiltrasi data.
- Audit lingkungan pengembangan untuk mencari kredensial yang tertanam secara tidak aman.
Selain itu, Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memasukkan kerentanan CVE-2026-33634 ke dalam katalog Known Exploited Vulnerabilities untuk memperketat mitigasi di lingkungan pemerintahan AS.
Untuk informasi lebih lanjut tentang insiden ini dan rekomendasi keamanan, Anda dapat mengunjungi sumber asli artikel ini di The Hacker News.
Dengan semakin kompleksnya serangan rantai pasokan, publik dan pelaku industri diimbau untuk tetap mengikuti perkembangan terbaru dan meningkatkan kewaspadaan demi keamanan bersama.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
