Nach eigener Darstellung beobachtete OpenAI „Aktivitäten, die mit dem öffentlich beschriebenen Verhalten der Schadsoftware übereinstimmen, darunter unbefugte Zugriffe und auf Zugangsdaten ausgerichtete Datenabflüsse" in einem begrenzten Teil interner Quellcode-Repositorys. Zugriff darauf hatten die beiden betroffenen Mitarbeiter.
Das Unternehmen reagierte, indem es betroffene Systeme und Konten isolierte, Sitzungen widerrief, Zugangsdaten in den betroffenen Repositorys austauschte und Bereitstellungsabläufe vorübergehend einschränkte. Zusätzlich führte OpenAI mit Unterstützung eines externen Dienstleisters für Vorfallsreaktion eine forensische Untersuchung durch.
Auch die Code-Signing-Zertifikate für OpenAI-Produkte unter macOS, Windows, iOS und Android wurden bei dem Vorfall offengelegt. Einen Missbrauch zur Signierung schädlicher Software hat das Unternehmen nach eigenen Angaben nicht festgestellt, tauscht die Zertifikate aber vorsorglich aus. Dieser Austausch zwingt macOS-Nutzer, ihre OpenAI-Desktop-Anwendungen vor dem 12. Juni 2026 zu aktualisieren, da mit den älteren Zertifikaten signierte Programme aufgrund von Apples Notarisierungsverfahren möglicherweise nicht mehr starten oder keine Updates mehr erhalten. Nutzer von Windows und iOS sind nicht betroffen und müssen nichts unternehmen.
Der Vorfall ist Teil der groß angelegten Kampagne „Mini Shai-Hulud", die in dieser Woche hunderte npm- und PyPI-Pakete kompromittierte. Der Angriff richtete sich zunächst gegen Pakete von TanStack und Mistral AI und breitete sich über gestohlene CI/CD-Zugangsdaten und legitime Arbeitsabläufe auf weitere Projekte aus, darunter UiPath, Guardrails AI und OpenSearch. Forscher von Socket und Aikido verfolgten letztlich hunderte kompromittierte Pakete, die über reguläre Paketquellen verteilt wurden.
Laut der Aufarbeitung von TanStack nutzten die Angreifer Schwächen in den GitHub-Actions-Abläufen und der CI/CD-Konfiguration des Projekts aus, um schädlichen Code auszuführen, Tokens aus dem Speicher zu extrahieren und über die reguläre Veröffentlichungspipeline schädliche Pakete zu publizieren. Auf diese Weise konnten sie manipulierte Paketversionen direkt über legitime Releases verbreiten, wobei die Pakete echt wirkten.
Die in der Kampagne eingesetzte Schadsoftware Mini Shai-Hulud zielte auf den Diebstahl von Entwickler- und Cloud-Zugangsdaten, darunter GitHub-Tokens, npm-Publish-Tokens, AWS-Anmeldedaten, Kubernetes-Secrets, SSH-Schlüssel und .env-Dateien. Sicherheitsforscher zufolge nistete sie sich zudem dauerhaft auf Entwicklersystemen ein, indem sie Claude-Code-Hooks und VS-Code-Auto-Run-Tasks veränderte und so eine Entfernung der Pakete überdauerte. Über gestohlene GitHub- und npm-Zugangsdaten kompromittierte die Malware Maintainer-Konten, schleuste schädliche Nutzlasten in Paket-Archive ein und veröffentlichte neue trojanisierte Paketversionen.
Microsoft Threat Intelligence berichtete zudem, dass die Kampagne ein Linux-Werkzeug zum Datendiebstahl startete, das auf Systeme mit russischsprachiger Software abzielte. Die Schadsoftware enthielt außerdem eine zerstörerische Sabotagekomponente, die auf einigen israelischen oder iranischen Systemen zufällig einen rekursiven Löschbefehl ausführte.
OpenAI ordnet den Vorfall einem wachsenden Trend zu, bei dem Angreifer für möglichst breite Wirkung die Software-Lieferkette ins Visier nehmen statt einzelner Unternehmen. Moderne Software beruhe auf einem eng verflochtenen Ökosystem aus Open-Source-Bibliotheken, Paketmanagern und CI/CD-Infrastruktur, sodass sich eine vorgelagert eingebrachte Schwachstelle schnell und weitreichend über Organisationen hinweg ausbreiten könne.