https://cyberveille.ch/tags/axios-1.14.1-version-malveillante/ Recent content in Axios 1.14.1 (Version Malveillante) on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 12 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-12-compromission-de-la-bibliotheque-axios-openai-expose-son-certificat-de-signature-macos/ Sun, 12 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-12-compromission-de-la-bibliotheque-axios-openai-expose-son-certificat-de-signature-macos/ <h2 id="-contexte">🔍 Contexte</h2> <p>Le 10 avril 2026, OpenAI a publié un post-mortem officiel concernant un incident de sécurité lié à la compromission de la bibliothèque tierce <strong>Axios</strong>, survenu dans le cadre d&rsquo;une <strong>attaque de la chaîne d&rsquo;approvisionnement logicielle</strong> plus large touchant l&rsquo;industrie.</p> <h2 id="-chronologie">📅 Chronologie</h2> <ul> <li><strong>31 mars 2026 (UTC)</strong> : La bibliothèque <strong>Axios (version 1.14.1)</strong> est compromise dans le cadre d&rsquo;une attaque supply chain.</li> <li>Un <strong>workflow GitHub Actions</strong> utilisé par OpenAI dans le processus de signature des applications macOS télécharge et exécute cette version malveillante d&rsquo;Axios.</li> <li>Ce workflow avait accès à un <strong>certificat de signature de code et au matériel de notarisation</strong> utilisés pour signer les applications macOS d&rsquo;OpenAI.</li> <li><strong>10 avril 2026</strong> : Publication du post-mortem par OpenAI.</li> <li><strong>8 mai 2026</strong> : Révocation effective du certificat compromis et fin du support des anciennes versions.</li> </ul> <h2 id="-applications-impactées">🎯 Applications impactées</h2> <p>Les applications macOS suivantes étaient signées avec le certificat potentiellement exposé :</p>