Lieferketten-Angriff auf TanStack trifft OpenAI – macOS-Apps müssen aktualisiert werden

Zusammenfassung

OpenAI hat eingeräumt, dass zwei Geräte von Mitarbeitern in der Unternehmensumgebung über den Lieferketten-Angriff „Mini Shai-Hulud" auf TanStack betroffen waren. Nach Angaben des Unternehmens wurden keine Nutzerdaten, Produktionssysteme oder geistiges Eigentum unbefugt kompromittiert oder verändert. Die Angreifer erlangten unbefugten Zugriff und führten eine auf Zugangsdaten ausgerichtete Datenabfluss-Aktivität in einer begrenzten Auswahl interner Quellcode-Repositories durch, auf die die beiden betroffenen Mitarbeiter Zugriff hatten. Laut OpenAI wurde dabei nur begrenztes Anmeldematerial tatsächlich aus diesen Repositories abgezogen; weitere Informationen oder Code seien nicht betroffen gewesen. Weil zu den betroffenen Repositories Signaturzertifikate für iOS-, macOS- und Windows-Produkte gehörten, hat das Unternehmen diese Zertifikate widerrufen und neue ausgestellt. Für macOS-Nutzer von ChatGPT Desktop, der Codex App, Codex CLI und Atlas bedeutet das, dass sie ihre Anwendungen auf die neueste Version aktualisieren müssen. Die alten Zertifikate sollen am 12. Juni 2026 widerrufen werden; danach blockieren die in macOS eingebauten Schutzmechanismen neue Downloads und Starts von Apps, die mit dem früheren Zertifikat signiert wurden.

Nach dem Erkennen der schädlichen Aktivität isolierte OpenAI nach eigenen Angaben die betroffenen Systeme und Identitäten, widerrief Nutzersitzungen, tauschte sämtliche Zugangsdaten in den betroffenen Repositories aus, schränkte Code-Deployment-Abläufe vorübergehend ein und überprüfte das Verhalten von Nutzern und Zugangsdaten.

Der Zertifikatstausch soll verhindern, dass jemand versucht, eine gefälschte App zu verbreiten, die scheinbar von OpenAI stammt. Für Windows- und iOS-Apps ist laut Unternehmen kein Eingreifen nötig. Nutzer sollten die Updates vor dem Stichtag einspielen, um durchgehend geschützt zu bleiben.

Es ist das zweite Mal innerhalb von zwei Monaten, dass OpenAI seine Code-Signaturzertifikate für macOS erneuert. Bereits um Mitte April 2026 tauschte das Unternehmen die Zertifikate, nachdem ein GitHub-Actions-Workflow zum Signieren der macOS-Apps am 31. März zum Download der manipulierten Axios-Bibliothek geführt hatte. Diese war von einer nordkoreanischen Hackergruppe namens UNC1069 kompromittiert worden.

OpenAI ordnet den Vorfall in eine breitere Verschiebung der Bedrohungslage ein: Angreifer zielten zunehmend auf gemeinsam genutzte Software-Abhängigkeiten und Entwicklungswerkzeuge statt auf einzelne Unternehmen. Eine im Vorfeld eingeschleuste Schwachstelle könne sich dadurch schnell und weit über Organisationen hinweg ausbreiten.

Der Vorfall folgt auf neue Opfer der Gruppe TeamPCP, die im Rahmen einer laufenden Lieferketten-Kampagne Hunderte Pakete von TanStack, UiPath, Mistral AI, OpenSearch und Guardrails AI kompromittiert hat. Ziel ist es, Malware an nachgelagerte Entwickler zu verteilen und Zugangsdaten von deren Systemen zu stehlen. TanStack betonte, kein Maintainer sei per Phishing getäuscht worden, kein Passwort geleakt und kein Token aus einem Konto gestohlen worden. Stattdessen habe der Angreifer einen Weg konstruiert, über den die eigene CI-Pipeline ihr eigenes Veröffentlichungs-Token genau im Moment seiner Erzeugung an die Angreifer übergab – über einen Cache, dem alle Beteiligten implizit vertrauten.

TeamPCP hat inzwischen in Zusammenarbeit mit der Cybercrime-Plattform Breached einen Wettbewerb ausgelobt: 1.000 US-Dollar in Monero für Teilnehmer, die Open-Source-Pakete mit dem frei verfügbar gemachten Shai-Hulud-Wurm kompromittieren. Zudem droht die Gruppe, rund 5 GB internen Quellcode von Mistral AI zu veröffentlichen, und verlangt 25.000 US-Dollar von Kaufinteressenten. Mistral AI bestätigte in einem aktualisierten Hinweis, durch die Kompromittierung von TanStack betroffen zu sein, was zu trojanisierten Versionen seiner npm- und PyPI-SDKs führte; ein einzelnes Entwicklergerät sei betroffen, Hinweise auf einen Einbruch in die Infrastruktur gebe es nicht.

Eine genauere Analyse des modularen Python-Werkzeugkastens, der über die Pakete guardrails-ai und mistralai auf Linux-Systeme gelangt, ergab laut Hunt.io eine fest einprogrammierte primäre C2-Serveradresse („83.142.209[.]194"). Ist dieser Server nicht erreichbar, aktiviert sich ein Ausweichmechanismus namens FIRESCALE: Die Malware durchsucht weltweit alle öffentlichen GitHub-Commit-Nachrichten nach einer signierten Ersatz-Server-URL, die gegen einen eingebetteten 4096-Bit-RSA-Schlüssel verifiziert wird. Der Datenabfluss erfolgt laut Hunt.io nacheinander über drei Wege – primärer C2-Server, FIRESCALE-Umleitung und das eigene GitHub-Repository des Opfers –, sodass das Blockieren einer Stufe die beiden anderen unberührt lässt.

Das Sammelmodul für AWS-Zugangsdaten umfasst laut Hunt.io alle 19 Verfügbarkeitszonen, darunter us-gov-east-1 und us-gov-west-1 (AWS GovCloud), die US-Regierungsbehörden und Rüstungsauftragnehmern vorbehalten sind. Auffällig ist zudem ein zerstörerisches Verhalten: Auf Geräten, die nach Israel oder Iran lokalisiert werden, spielt mit einer Wahrscheinlichkeit von eins zu sechs Audio in maximaler Lautstärke ab, gefolgt vom Löschen aller zugänglichen Dateien. Auf Systemen mit russischer Spracheinstellung bleibt die Malware bestehen. Dieses regional gezielte Vorgehen ähnelt dem „Kamikaze"-Wiper, den TeamPCP zuvor gegen iranische Kubernetes-Cluster im Zusammenhang mit dem sich selbst verbreitenden Wurm CanisterWorm einsetzte – ein Muster, das auf eine bewusste statt opportunistische Operation hindeutet. Neben Zugangsdaten erfasst die Malware laut Hunt.io alle Umgebungsvariablen, liest sämtliche SSH-Schlüssel und Konfigurationen, durchsucht das gesamte Benutzerverzeichnis nach dotenv-Dateien und zieht Zugangsdaten aus laufenden Docker-Containern ab.

Lieferketten-Angriff auf TanStack trifft OpenAI – macOS-Apps müssen aktualisiert werden

Ähnliche Artikel

Neueste Artikel