Auslöser des Vorgangs ist ein Lieferkettenangriff auf das npm-Paket Axios. Bei OpenAI führte ein legitimer GitHub-Actions-Workflow am 31. März 2026 die kompromittierte Axios-Version 1.14.1 aus. Da dieser Workflow Zugriff auf die Code-Signing-Zertifikate für die macOS-Apps des Unternehmens hatte, stuft OpenAI die Zertifikate aus Vorsicht als potenziell offengelegt ein.

In einer Sicherheitsmeldung erklärt das Unternehmen, man ergreife „aus äußerster Vorsicht" Maßnahmen, um den Prozess zu schützen, der die macOS-Anwendungen als echte OpenAI-Apps ausweist. Es gebe keine Hinweise darauf, dass auf Nutzerdaten zugegriffen, Systeme oder geistiges Eigentum kompromittiert oder die Software verändert worden seien. Zugleich kündigt OpenAI an, die Sicherheitszertifikate zu erneuern, weshalb alle macOS-Nutzer ihre Apps auf die neuesten Versionen aktualisieren müssten.

Zur Untersuchung zog OpenAI eine externe Incident-Response-Firma hinzu. Diese fand nach Angaben des Unternehmens keine Belege dafür, dass die Zertifikate offengelegt oder zur Verteilung von Schadsoftware verwendet wurden. Auch eine Analyse früherer Notarisierungsvorgänge im Zusammenhang mit dem Zertifikat habe bestätigt, dass alles damit Signierte legitim war.

Sollte ein Angreifer dennoch in den Besitz des Zertifikats gelangt sein, könnte er damit eigene macOS-Anwendungen signieren, die als legitim von OpenAI signiert erscheinen. Um dieses Risiko zu begrenzen, arbeitet OpenAI nach eigenen Angaben mit Apple zusammen, damit künftig keine Software mehr mit dem alten Zertifikat notarisiert werden kann. Das Zertifikat soll am 8. Mai vollständig widerrufen werden; danach blockieren die macOS-Schutzmechanismen den Start damit signierter Anwendungen.

Das Problem beschränkt sich laut OpenAI auf die macOS-Anwendungen und betrifft weder die Webdienste noch die Apps für iOS, Android, Windows oder Linux. Nutzerkonten, Passwörter und API-Schlüssel seien nicht betroffen. Aktualisieren sollten Nutzer über die In-App-Funktionen oder die offiziellen Download-Seiten und keine Software aus Links in E-Mails, Anzeigen oder von Drittseiten installieren. OpenAI will weiter beobachten, ob das alte Zertifikat missbraucht wird, und den Zeitplan für den Widerruf bei verdächtigen Anzeichen beschleunigen.

Der Lieferkettenangriff auf Axios wird mit nordkoreanischen Akteuren in Verbindung gebracht, die als UNC1069 geführt werden. Sie führten eine Social-Engineering-Kampagne gegen einen der Projektbetreuer durch: Über eine vorgetäuschte Videokonferenz brachten sie ihn dazu, Schadsoftware zu installieren, verschafften sich Zugang zu seinem Konto und veröffentlichten manipulierte Versionen des Axios-Pakets auf npm. Das schädliche Paket enthielt eine Abhängigkeit, die einen Remote-Access-Trojaner (RAT) auf Systemen mit macOS, Windows und Linux installierte.

Den Forschern zufolge gingen die Angreifer mit überzeugend gefälschten Kooperationsumgebungen auf Entwickler zu, darunter Slack-Arbeitsbereiche und Microsoft-Teams-Anrufe, und brachten sie schließlich zur Installation von Schadsoftware, die zu Zugangsdatendiebstahl und nachgelagerten Lieferkettenkompromittierungen führte. Die Aktivität wird einer größeren Kampagne zugeordnet, die populäre Open-Source-Projekte für breit angelegte Lieferkettenangriffe kompromittieren soll.