Der Angriff reiht sich in eine breit angelegte Kampagne ein: Am 11. Mai nutzte die Gruppe TeamPCP Schwächen im Paket-Veröffentlichungsprozess von TanStack aus und brachte 84 schädliche Artefakte über 42 Pakete in Umlauf. Insgesamt wurden an diesem Tag mehr als 170 Pakete in mehreren bekannten NPM- und PyPI-Namespaces kompromittiert. Entwicklergeräte infizierten sich dabei mit dem Wurm Shai-Hulud.

OpenAI zählt zu den nachgelagert betroffenen Organisationen. Zwei Mitarbeitergeräte wurden infiziert, von ihnen flossen Zugangsdaten und weitere Geheimnisse ab. „Wir haben bestätigt, dass nur begrenztes Zugangsmaterial erfolgreich aus diesen Code-Repositories abgegriffen wurde und dass keine anderen Informationen oder Code betroffen waren“, erklärt das Unternehmen.

Als Reaktion rotierte OpenAI die Zugangsdaten aller betroffenen Repositories, widerrief Nutzersitzungen und schränkte die Workflows zur Code-Bereitstellung vorübergehend ein. Kundendaten oder geistiges Eigentum seien nicht betroffen gewesen.

Schwerer wiegt, dass die kompromittierten Repositories Code-Signing-Zertifikate für iOS-, macOS-, Windows- und Android-Produkte enthielten. OpenAI entschied sich, die Zertifikate zu widerrufen und alle Anwendungen neu zu signieren. macOS-Nutzer müssen ihre Anwendungen bis zum 12. Juni 2026 aktualisieren; danach erhalten die betroffenen Produkte keine Updates mehr und könnten ihren Dienst einstellen.

„Wir aktualisieren unsere Sicherheitszertifikate, was alle macOS-Nutzer dazu zwingt, ihre OpenAI-Apps auf die neuesten Versionen zu aktualisieren. Das hilft, das – wenn auch unwahrscheinliche – Risiko zu verhindern, dass jemand eine gefälschte App verbreitet, die scheinbar von OpenAI stammt“, so das Unternehmen. Zudem stimme man sich mit Plattformanbietern ab, um neue Notarisierungen zu stoppen und einen Missbrauch der gestohlenen Zertifikate zu verhindern.

OpenAI prüfte nach eigenen Angaben alle Notarisierungen von Software mit den bisherigen Zertifikaten und stellte sicher, dass keine unerwartete Signierung mit diesen Schlüsseln erfolgte. Auch hätten die veröffentlichten Programme keine unautorisierten Veränderungen aufgewiesen. Hinweise auf eine Kompromittierung oder ein Risiko für bestehende Software-Installationen fand das Unternehmen nicht.

Der Vorfall ereignete sich laut OpenAI während der Umstellung auf gehärtete Konfigurationen und Zugangsdaten. Ausgelöst hatte diese Umstellung der Axios-Supply-Chain-Angriff von Ende März, der Zertifikats- und Notarisierungsmaterial für die Signatur der macOS-Anwendungen von OpenAI betraf. Da die Umstellung in Phasen erfolgte, waren die beiden Mitarbeitergeräte noch nicht mit den neuen Konfigurationen versehen – diese hätten die schädlichen Paket-Downloads verhindert.