Den Kern der Maßnahmen bildet der Austausch der Signaturzertifikate. OpenAI teilte mit, die betroffenen Systeme isoliert, Nutzersitzungen widerrufen, Zugangsdaten rotiert und das Verhalten von Nutzern und Anmeldedaten eingehend geprüft zu haben. Betroffen waren die Quellcode-Repositories der iOS-, macOS- und Windows-Produkte. Konkret handeln müssen jedoch nur macOS-Nutzer, die ein Update installieren sollen.

Zur Aktivität auf den kompromittierten Geräten erklärte das Unternehmen, man habe ein Verhalten beobachtet, das der öffentlich beschriebenen Funktionsweise der Malware entspreche – darunter unbefugter Zugriff und auf Zugangsdaten ausgerichtete Exfiltration in einem begrenzten Teil interner Repositories. OpenAI koordiniert sich nach eigenen Angaben mit anderen Plattformen, um eine unbefugte Nutzung der Zertifikate durch das Stoppen neuer Notarisierungen zu verhindern. Eine Prüfung früherer Notarisierungen habe keine unerwarteten Signaturvorgänge und keine unautorisierten Änderungen an veröffentlichter Software ergeben. Gefälschte Apps, die sich als OpenAI ausgeben und das betroffene Zertifikat nutzen, werden laut Unternehmen von macOS standardmäßig blockiert, sofern Nutzer die Schutzfunktionen nicht ausdrücklich umgehen.

Der Angriff auf TanStack hatte in der Sicherheits- und Entwicklergemeinde für Aufsehen gesorgt, nachdem 84 npm-Paket-Artefakte kompromittiert worden waren. Die betroffenen Pakete wurden um Schadcode zum Diebstahl von Zugangsdaten ergänzt. Mehrere davon kommen auf über zwölf Millionen wöchentliche Downloads. In ihrer Aufarbeitung warnte TanStack zudem, dass die Malware sich selbst verbreite: Sie greife andere vom Opfer betreute Pakete an und veröffentliche sie mit demselben Schadcode neu. Britische Regierungsstellen erklärten, die Schadpakete seien in zwei Phasen am 29. April und 11. Mai hochgeladen worden.

Avital Harel, Leiter der Sicherheitsforschung bei Upwind, beschrieb den Angriff gegenüber Recorded Future News im Kern wie das Herunterladen eines scheinbar legitimen Updates oder Werkzeugs aus offizieller Quelle, in dem sich versteckter Code zum Diebstahl von Passwörtern, Anmeldedaten und Zugriffstoken befinde. Ungewöhnlich sei das zerstörerische Verhalten der Kampagne, die destruktive Aktionen gegen bestimmte geografische Regionen enthalten habe – ein Hinweis auf eine fortgeschrittene, gezielte Operation statt auf opportunistische Malware.

Die mutmaßlich verantwortlichen Angreifer, bekannt als TeamPCP, boten gestohlene interne Repositories und Quellcode von Mistral AI zum Verkauf an. Das französische Unternehmen bestätigte, betroffen zu sein: Angreifer hätten am 12. Mai über einen Drittanbieter-Lieferketten-Angriff vorübergehend ein System zur Verwaltung der Codebasis kompromittiert. Man habe den Angriff rasch neutralisiert und eine forensische Untersuchung eingeleitet; demnach hätten die Angreifer auf keine Daten jenseits bestimmter nicht-zentraler Code-Repositories zugegriffen, gehostete Dienste und verwaltete Nutzerdaten seien nicht betroffen.

TeamPCP stand zuvor hinter einem Angriff auf das Python-Paket LiteLLM, über den unter anderem das KI-Recruiting-Unternehmen Mercor kompromittiert wurde, sowie hinter einem Einbruch bei der Europäischen Kommission mittels eines gestohlenen Amazon-API-Schlüssels. OpenAI verwies darauf, nach einem früheren Lieferketten-Angriff mutmaßlich nordkoreanischer Akteure den Einsatz bestimmter Sicherheitskontrollen beschleunigt zu haben, um die Folgen solcher Angriffe zu verringern.