Nach Angaben von OpenAI lud und führte ein in den Signaturprozess der macOS-App eingebundener GitHub-Actions-Arbeitsablauf eine schädliche Axios-Version (Version 1.14.1) aus. Dieser Arbeitsablauf hatte Zugriff auf ein Zertifikat sowie auf Material für die Notarisierung, das zum Signieren von macOS-Anwendungen genutzt wird – darunter ChatGPT Desktop, Codex, Codex-cli und Atlas. Das Zertifikat dient Kunden als Nachweis, dass Software vom legitimen Entwickler OpenAI stammt.

Aus dem Zeitpunkt der Ausführung des Schadcodes und weiteren Faktoren leitet das Unternehmen ab, dass das macOS-Signaturzertifikat nicht kompromittiert wurde. Dennoch entschied sich OpenAI, das Zertifikat vorsorglich zu widerrufen und auszutauschen. Wäre das Zertifikat tatsächlich kompromittiert worden, hätte ein Angreifer damit Schadcode signieren und als legitime OpenAI-Software tarnen können.

Laut OpenAI werden keine neuen Software-Notarisierungen mehr mit dem alten Zertifikat ausgestellt. Software, die von einem unbefugten Dritten mit dem alten Zertifikat signiert würde, blockierten die Sicherheitsmechanismen von macOS daher standardmäßig – es sei denn, ein Nutzer umgeht sie ausdrücklich. Nach dem vollständigen Widerruf des Zertifikats am 8. Mai 2026 werde macOS neue Downloads und Starts von Apps mit dem bisherigen Zertifikat unterbinden.

Wie viele Axios-Nutzer insgesamt betroffen waren, ist unklar. Das Sicherheitsunternehmen Huntress fand Hinweise auf eine Kompromittierung auf 135 Rechnern; der Cloud-Sicherheitsanbieter Wiz beobachtete die Ausführung der schädlichen Version in drei Prozent der betroffenen Umgebungen.

Die Kompromittierung der Pakete reicht zeitlich auf einen Vorfall zurück, bei dem das NPM-Konto eines führenden Axios-Maintainers übernommen und zwei schädliche Pakete eingestellt wurden. Der mit der Kampagne in Verbindung gebrachten nordkoreanischen Gruppe UNC1069 wird zwar Spionage zugetraut, bekannt ist sie jedoch vor allem für Kryptowährungsdiebstahl und andere auf finanziellen Gewinn ausgerichtete Machenschaften.