OpenAI está obligando a los usuarios de Mac a actualizar ChatGPT y otras aplicaciones de escritorio pronto, luego de que un ataque a la cadena de suministro expuso los certificados de firma que el sistema de seguridad de Apple utiliza para verificar el software confiable.
La compañía reveló el incidente el 13 de mayo y confirmó que el malware asociado con el ataque “Mini Shai-Hulud” había infectado dos dispositivos de los empleados a través del ecosistema Tanstack NPM. Los investigadores identificaron actividad de acceso no autorizado a un conjunto limitado de repositorios de código fuente internos asociados con esos empleados.
OpenAI rotó sus certificados de firma y volvió a firmar las aplicaciones afectadas para evitar un posible uso indebido de los certificados abiertos. La empresa no encontró evidencia de que los datos del cliente, los sistemas de producción o la propiedad intelectual se vieran comprometidos durante el incidente.
Las medidas de seguridad de macOS de Apple bloquearán las aplicaciones firmadas con certificados obsoletos después del 12 de junio, lo que hará que la actualización sea obligatoria para los usuarios de Mac afectados.
OpenAI ha confirmado que los repositorios afectados incluyen certificados de firma utilizados por aplicaciones en macOS, iOS, Windows y Android. La empresa bloqueó futuros intentos de certificación notarial vinculados a certificados antiguos en lugar de revocar inmediatamente los certificados y correr el riesgo de instalar software defectuoso para los usuarios existentes.
Los usuarios de Mac deberán instalar versiones actualizadas antes del 12 de junio. Después de esa fecha, las protecciones de seguridad de Apple dejarán de confiar en las aplicaciones firmadas con certificados anteriores.
Por qué los usuarios de macOS necesitan actualizar
Los certificados de firma de código ayudan a macOS a verificar que el software proviene de un desarrollador legítimo. Los sistemas de control y certificación de Apple utilizan esas credenciales para determinar si las aplicaciones deben ser confiables, iniciadas o bloqueadas.
Los investigadores no encontraron evidencia de que las credenciales expuestas se utilizaran para firmar software malicioso o distribuir malware a los usuarios. OpenAI revisó notarizaciones anteriores en busca de signos de actividad no autorizada y dijo que no encontró evidencia de abuso.
Las versiones anteriores de ChatGPT Desktop, Codex App, Codex CLI y Atlas firmadas con certificados anteriores pueden dejar de funcionar o recibir actualizaciones después del 12 de junio. ChatGPT Desktop 1.2026.125, Codex App 26.506.31421, Codex CLI 0.130.130.130.130.130. Liberar
Los ataques a la cadena de suministro son cada vez más difíciles de controlar
Las aplicaciones modernas dependen de vastas redes de bibliotecas de código abierto, administradores de paquetes y sistemas de desarrollo automatizados que pueden difundir ampliamente el código comprometido. Una dependencia maliciosa puede atravesar varias organizaciones antes de que los desarrolladores detecten el malware en la cadena de software.
El ataque se produjo durante el despliegue activo de nuevas protecciones de seguridad de la cadena de suministro en los sistemas de desarrollo de OpenAI. Estas salvaguardas incluyen salvaguardas del administrador de paquetes, como controles estrictos de procedencia de los paquetes, fuertes controles de certificados CI/CD y políticas de edad mínima de lanzamiento.
Dos dispositivos de los empleados afectados aún no habían recibido protección actualizada cuando el malware llegó al sistema. OpenAI dijo que el incidente aceleró el despliegue de medidas de seguridad adicionales diseñadas para reducir el impacto de futuros ataques a la cadena de suministro.
Cómo los usuarios de Mac pueden mantenerse seguros
AbiertoAI dijo a los usuarios Solo para instalar aplicaciones actualizadas a través del sitio web oficial o del sistema de actualización integrado. La empresa advirtió a los usuarios que evitaran los instaladores distribuidos a través de anuncios, sitios de descarga de terceros, enlaces de correo electrónico o mensajes no solicitados.
Los usuarios de Mac deben verificar antes del 12 de junio que están ejecutando la última versión de ChatGPT, Codex y aplicaciones OpenAI relacionadas. Los usuarios que hayan descargado software OpenAI de fuentes no oficiales deben eliminar esas aplicaciones y reinstalar versiones limpias directamente desde OpenAI.
