Supply Chain SonrasıOpenAI / GitHub ActionsAxios CI/CDSertifika İptal

OpenAI macOS Uygulama Sertifikasını İptal Etti: GitHub Actions İş Akışı 31 Mart'ta Zararlı Axios Kütüphanesini Otomatik Olarak İndirmişti

📅 13 Nisan 2026  ·  📰 WIU Cybersecurity Center / OpenAI  ·  TLP:WHITE

CI/CD
RİSK
OpenAI, 31 Mart 2026 Axios tedarik zinciri ihlalinin ardından macOS uygulamalarını imzalamak için kullandığı Apple geliştirici sertifikasını iptal ettiğini açıkladı.

Olay zinciri: OpenAI'nin GitHub Actions iş akışı, zararlı Axios sürümü (v1.14.1) aktif olduğu sırada otomatik bağımlılık güncellemesi çalıştırdı ve enfekte paketi indirdi. İş akışı, macOS uygulamalarını imzalamak için kullandığı özel anahtarlara erişiyordu.

Hasara sınırlı kaldı: Kullanıcı verisi veya iç sistemler etkilenmedi. Ancak imzalama anahtarı teorik olarak ele geçirilmiş olabileceğinden ihtiyaten sertifika iptal edildi ve tüm derlemeler yeniden gerçekleştirildi.

Bu vaka Axios saldırısının yalnızca doğrudan kullanıcıları değil, CI/CD pipeline'larında otomatik bağımlılık güncellemesi kullanan her projeyi etkilediğini gösteriyor. 3 saatlik aktif pencerede otomatik bir npm update çalışan her ortam risk altındaydı.
▸ ÖNERİLEN AKSİYONLAR
GitHub Actions iş akışlarında npm/pip bağımlılıklarını pin'leyin (hash tabanlı doğrulama)
CI/CD ortamlarına en düşük yetki prensibini uygulayın — imzalama anahtarları ayrı vault'ta
Bağımlılık güncellemelerini otomatik PR yerine gözden geçirme gerektiren süreçle yönetin
npm'de ignore-scripts=true varsayılan politikasını CI/CD'de aktifleştirin
31 Mart UTC 00:21–03:20 arasında çalışan CI build loglarını retrospektif olarak tarayın