Laut OpenAI lud der für die macOS-Signierung genutzte GitHub-Actions-Workflow die Axios-Version 1.14.1 herunter und führte sie aus. Das Unternehmen erklärte, das in diesem Workflow vorhandene Signaturzertifikat sei aufgrund des zeitlichen Ablaufs der Schadcode-Ausführung, der Art der Zertifikatseinbindung in den Job, der Reihenfolge des Jobs selbst sowie weiterer abschwächender Faktoren wahrscheinlich nicht erfolgreich ausgeschleust worden.
Dennoch behandelt OpenAI das Zertifikat als kompromittiert und zieht es zurück. Ab dem 8. Mai 2026 erhalten ältere Versionen aller macOS-Desktop-Apps weder Updates noch Support. Mit dem alten Zertifikat signierte Anwendungen werden von den Sicherheitsmechanismen von macOS standardmäßig blockiert und lassen sich nicht mehr herunterladen oder starten. Zugleich arbeitet OpenAI mit Apple zusammen, damit Software mit dem bisherigen Zertifikat nicht neu notarisiert werden kann. Die Frist von 30 Tagen bis zum 8. Mai 2026 soll die Unterbrechung für Nutzer gering halten und genügend Zeit für die Aktualisierung geben.
Hätte ein Angreifer das Zertifikat tatsächlich erbeutet, so OpenAI, könnte er damit eigenen Code signieren und ihn als legitime OpenAI-Software erscheinen lassen. Da neue Notarisierungen mit dem alten Zertifikat gestoppt wurden, würde derart signierte Software durch die Schutzmechanismen von macOS standardmäßig blockiert, sofern ein Nutzer sie nicht ausdrücklich umgeht.
Der Angriff auf Axios, eine der meistgenutzten HTTP-Client-Bibliotheken, geht laut GTIG auf die nordkoreanische Gruppe UNC1069 zurück. Die Angreifer übernahmen das npm-Konto des Paketbetreuers und veröffentlichten zwei manipulierte Versionen, 1.14.1 und 0.30.4. Diese enthielten eine bösartige Abhängigkeit namens „plain-crypto-js", die eine plattformübergreifende Hintertür mit der Bezeichnung WAVESHAPER.V2 ausbrachte und Windows-, macOS- und Linux-Systeme infizieren konnte.
Der Axios-Vorfall war einer von zwei großen Lieferketten-Angriffen auf das Open-Source-Ökosystem in diesem Zeitraum. Der zweite traf Trivy, einen von Aqua Security gepflegten Schwachstellen-Scanner, mit Kaskadeneffekten über fünf Ökosysteme hinweg. Hinter diesem Angriff steht laut den Analysen eine kriminelle Gruppe namens TeamPCP (auch UNC6780), die einen Zugangsdaten-Dieb namens SANDCLOCK einsetzte und mit den erbeuteten Daten npm-Pakete kompromittierte sowie einen sich selbst verbreitenden Wurm namens CanisterWorm verteilte.
In der Folge schleusten die Angreifer dieselbe Schadsoftware in zwei von Checkmarx gepflegte GitHub-Actions-Workflows ein und veröffentlichten manipulierte Versionen von LiteLLM und Telnyx im Python Package Index (PyPI), die beide Trivy in ihrer CI/CD-Pipeline nutzen. Trend Micro beschreibt eine fortlaufende Weiterentwicklung der Vorgehensweise: Innerhalb von acht Tagen habe der Akteur von Sicherheitsscannern über KI-Infrastruktur bis zu Telekommunikationswerkzeugen gewechselt und seine Auslieferungsmethoden von inline kodiertem Base64 über automatische Ausführung per .pth bis hin zu WAV-Steganografie mit aufgeteilten Dateien verändert.
Die Kampagne wird mittlerweile unter CVE-2026-33634 geführt. Die US-Behörde CISA hat die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und Bundesbehörden verpflichtet, bis zum 9. April 2026 Gegenmaßnahmen umzusetzen.
