Thought Leadership
Durch einen Angriff auf die TanStack-Lieferkette wurden Geräte von OpenAI-Mitarbeitern kompromittiert. macOS-Nutzer müssen ihre ChatGPT-Apps dringend aktualisieren.
Das US-amerikanische Unternehmen OpenAI hat einen Sicherheitsvorfall in seiner internen Unternehmensinfrastruktur gemeldet. Im Rahmen eines weitreichenden Supply-Chain-Angriffs auf das Software-Projekt TanStack wurden zwei Geräte von Mitarbeitern infiziert. Laut offiziellen Angaben des Unternehmens wurden dabei jedoch keine Nutzerdaten, Produktionssysteme oder geistiges Eigentum kompromittiert oder unbefugt verändert. Der Vorfall steht im Zusammenhang mit einer Kampagne namens Mini Shai-Hulud, die gezielt Software-Abhängigkeiten ausnutzt, um Schadsoftware in Entwicklungsumgebungen zu schleusen. OpenAI hat als Reaktion weitreichende Sicherheitsmaßnahmen eingeleitet, die unter anderem den Austausch digitaler Zertifikate für macOS-Anwendungen erforderlich machen.
Unbefugter Zugriff auf interne Quellcode-Repositorys
Nach der Entdeckung der bösartigen Aktivitäten leitete OpenAI eine umfassende Untersuchung ein. Das Unternehmen stellte fest, dass die Aktivitäten mit dem öffentlich beschriebenen Verhalten der Malware übereinstimmten. Dies umfasste unbefugten Zugriff sowie auf Anmeldedaten fokussierte Exfiltrationsaktivitäten in einer begrenzten Teilmenge interner Quellcode-Repositorys, auf welche die beiden betroffenen Mitarbeiter Zugriff hatten. OpenAI gab an: Nach der Identifizierung der bösartigen Aktivität haben wir schnell daran gearbeitet, diese zu untersuchen, einzudämmen und Schritte zum Schutz unserer Systeme zu unternehmen.
Die Untersuchung ergab, dass lediglich begrenztes Anmeldematerial aus diesen Code-Repositorys erfolgreich übertragen wurde. Andere Informationen oder Programmcode seien nicht betroffen gewesen. Unmittelbar nach der Alarmierung isolierte OpenAI die betroffenen Systeme und Identitäten, entzog Nutzersitzungen die Gültigkeit und rotierte sämtliche Anmeldedaten der betroffenen Repositorys. Zudem wurden Workflows für die Code-Bereitstellung vorübergehend eingeschränkt und die Aktivitäten von Benutzern und Zugangsdaten einer detaillierten Prüfung unterzogen.
Notwendige Updates für macOS-Anwendungen
Da die betroffenen Repositorys auch Signaturzertifikate für Produkte unter iOS, macOS und Windows enthielten, sah sich OpenAI gezwungen, diese Zertifikate zu widerrufen und neue auszustellen. Während Nutzer von Windows- und iOS-Apps keine Maßnahmen ergreifen müssen, ist für macOS-Nutzer von ChatGPT Desktop, Codex App, Codex CLI und Atlas ein Update auf die neuesten Versionen zwingend erforderlich. OpenAI erklärte dazu, dass dies helfe, jedes Risiko zu verhindern, so unwahrscheinlich es auch sein mag, dass jemand versucht, eine gefälschte App zu verteilen, die den Anschein erweckt, von OpenAI zu stammen.
Die alten Zertifikate werden planmäßig am 12. Juni 2026 widerrufen. Nach diesem Datum werden neue Downloads und Starts von Anwendungen, die mit dem vorherigen Zertifikat signiert wurden, durch die integrierten Schutzfunktionen von macOS blockiert. Nutzern wird daher geraten, die Updates vor diesem Stichtag anzuwenden, um einen reibungslosen Betrieb und optimalen Schutz zu gewährleisten. Es ist bereits das zweite Mal innerhalb weniger Monate, dass OpenAI seine Code-Signaturzertifikate für macOS rotieren muss. Bereits Mitte April 2026 kam es zu einem ähnlichen Vorfall, nachdem ein GitHub-Actions-Workflow kompromittiert worden war.
Sicherheitslücke in der CI-Pipeline von TanStack
Der Ursprung des Angriffs liegt in einer Schwachstelle bei TanStack, einem weit verbreiteten Anbieter von Software-Bibliotheken. Die Verantwortlichen von TanStack betonten, dass der Angriff nicht auf klassischem Phishing oder gestohlenen Passwörtern basierte. In einer Stellungnahme hieß es: Nur um es klarzustellen: Kein Betreuer wurde gephished, hatte ein Passwort-Leck oder ein gestohlenes Token von seinem Konto. Dem Angreifer gelang es, einen Pfad zu konstruieren, bei dem unsere eigene CI-Pipeline ihr eigenes Veröffentlichungs-Token für sie stahl, genau in dem Moment, in dem es erstellt wurde, und zwar über einen Cache, dem jeder in der Kette implizit vertraute. Es ist ein anspruchsvoller Ansatz, den wir nicht vorhergesehen hatten und den wir sehr ernst nehmen.
Dieser Vorfall verdeutlicht laut OpenAI eine Verschiebung in der Bedrohungslandschaft. Angreifer zielen zunehmend auf gemeinsam genutzte Software-Abhängigkeiten und Entwicklungswerkzeuge ab, anstatt auf ein einzelnes Unternehmen. Moderne Software basiere auf einem tief vernetzten Ökosystem aus Open-Source-Bibliotheken und Paketmanagern, wodurch eine upstream eingeführte Schwachstelle schnell über viele Organisationen hinweg propagiert werden kann.
Wettbewerb für Supply-Chain-Angriffe angekündigt
Neben OpenAI meldete auch das französische KI-Unternehmen Mistral AI Auswirkungen durch den Angriff auf TanStack. Dort wurde ein einzelnes Entwicklergerät infiziert, was zur Veröffentlichung von trojanisierten Versionen der npm- und PyPI-SDKs von Mistral AI führte. Es gibt jedoch keine Hinweise darauf, dass die zentrale Infrastruktur von Mistral AI kompromittiert wurde. Die Hintermänner des Angriffs, eine Gruppe namens TeamPCP, forderten von Mistral AI ein Lösegeld von 25.000 US-Dollar in Kryptowährung, um den Diebstahl von etwa 5 Gigabyte internem Quellcode abzuwenden.
TeamPCP hat zudem einen Wettbewerb für Supply-Chain-Angriffe in Zusammenarbeit mit kriminellen Foren angekündigt. Teilnehmern wird eine Belohnung in Monero in Aussicht gestellt, wenn sie den Shai-Hulud-Wurm verwenden, um Open-Source-Pakete zu kompromittieren. Die Kampagne hat bereits hunderte Pakete infiltriert, die mit Projekten wie UiPath, OpenSearch und Guardrails AI in Verbindung stehen. Ziel der Angreifer ist es, Anmeldedaten von Entwicklersystemen zu stehlen, um die Reichweite der Einbrüche weiter zu vergrößern.
Shai-Hulud-Malware sammelt Daten über alle 19 Verfügbarkeitszonen hinweg
Sicherheitsanalysen der Shai-Hulud-Malware offenbarten eine hohe technische Komplexität. Das Toolkit ist in der Lage, AWS-Anmeldedaten über alle 19 Verfügbarkeitszonen hinweg zu sammeln, einschließlich spezieller Zonen für US-Regierungsbehörden und Verteidigungsunternehmen. Eine Besonderheit ist der Fallback-Mechanismus namens FIRESCALE. Sollte der primäre Steuerungsserver nicht erreichbar sein, sucht die Malware in öffentlichen GitHub-Commit-Nachrichten weltweit nach einer signierten alternativen Server-URL, die gegen einen eingebetteten 4096-Bit-RSA-Schlüssel verifiziert wird.
Zusätzlich zeigt die Malware in bestimmten geografischen Regionen ein destruktives Verhalten. Auf Systemen in Israel oder Iran wird mit einer Wahrscheinlichkeit von eins zu sechs eine Audio-Wiedergabe bei maximaler Lautstärke aktiviert, gefolgt von der Löschung aller zugänglichen Dateien. Auf Systemen mit russischer Spracheinstellung wird die Malware hingegen nicht aktiv. Die Experten von Hunt.io warnten, dass das Toolkit weitaus fähiger und widerstandsfähiger sei als frühere Varianten. Es erfasse nicht nur Anmeldedateien, sondern extrahiere auch Umgebungsvariablen, SSH-Schlüssel, Konfigurationsdateien und Anmeldedaten aus laufenden Docker-Containern.
