OpenAI: Lieferketten-Angriff kompromittiert interne Systeme

Der KI-Konzern wurde Opfer einer gezielten Attacke auf die Open-Source-Bibliothek TanStack – zwei Mitarbeiter-Geräte waren betroffen.

OpenAI hat heute bekannt gegeben, dass zwei Unternehmensgeräte im Zuge eines ausgeklügelten Angriffs auf das TanStack-Ökosystem kompromittiert wurden. Die Attacke, die Anfang der Woche begann, zwang den KI-Konzern dazu, Sicherheitszertifikate auszutauschen und für macOS-Nutzer ein verpflichtendes Update zu verordnen.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Gratis-E-Book: Cyber Security Strategien für Unternehmen

Zwar wurden begrenzte Zugangsdaten aus internen Quellcode-Repositories abgegriffen. Doch OpenAI betont: Keine Nutzerdaten, keine Produktionssysteme und kein geistiges Eigentum seien in falsche Hände geraten. Die Attacke sei Teil einer größeren, koordinierten Kampagne mit dem Codenamen „Mini Shai-Hulud“.

Wie die Angreifer vorgingen

Die Sicherheitslücke wurde entdeckt, nachdem am Montag, dem 11. Mai 2026, bösartige Versionen mehrerer TanStack-npm-Pakete veröffentlicht worden waren. Die beiden betroffenen Mitarbeiter-Geräte erlaubten der Schadsoftware, unbefugten Zugriff zu erlangen und Zugangsdaten abzugreifen – beschränkt auf jene Repositories, auf die die beiden Mitarbeiter Zugriff hatten.

Wichtig für Nutzer: Keine Kunden-Passwörter oder API-Schlüssel waren betroffen. OpenAIs Kern-KI-Modelle und die Produktionsinfrastruktur blieben isoliert. Das Unternehmen sperrte umgehend die betroffene Hardware, beendete alle aktiven Sitzungen und tauschte betroffene Zugangsdaten aus. Zudem wurden Code-Bereitstellungs-Workflows vorübergehend gestoppt.

Zur Unterstützung der Ermittlungen zog OpenAI ein externes Forensik-Unternehmen hinzu.

Die „Mini Shai-Hulud“-Kampagne im Detail

Die Attacke auf OpenAI ist Teil einer breiteren Offensive, die Analysten der Gruppe TeamPCP zuschreiben. Die Kampagne traf over 170 Pakete in den Ökosystemen npm und PyPI – der Einstiegspunkt war die Kompromittierung des TanStack-Router-Ökosystems mit 42 weit verbreiteten Paketen.

Die technische Analyse von TanStack offenbarte: Angreifer veröffentlichten 84 bösartige Versionen, indem sie Schwachstellen in GitHub-Actions-Workflows ausnutzten. Konkret nutzten sie ein „Pwn Request“-Muster mit dem pull_request_target-Auslöser. Durch das Verschieben eines verwaisten Commits in einen Repository-Fork kaperten sie legitime CI/CD-Pipelines und extrahierten kurzlebige OIDC-Tokens aus dem Arbeitsspeicher.

Die bösartigen Pakete trugen gültige kryptografische Provenienz-Zertifikate – für Standard-Sicherheitstools kaum von legitimen Updates zu unterscheiden. Die Malware zielt auf GitHub-Tokens, Cloud-API-Schlüssel und npm-Zugangsdaten ab. Besonders perfide: Ein „Dead Man's Switch“ versucht, das gesamte Home-Verzeichnis eines Entwicklers zu löschen, falls ein gestohlenes GitHub-Token widerrufen wird.

Pflicht-Update für macOS-Nutzer

Als Vorsichtsmaßnahme tauscht OpenAI die Code-Signing-Zertifikate für alle Anwendungen aus. Damit soll verhindert werden, dass Angreifer manipulierte Software mit alten, kompromittierten Zertifikaten signieren.

Für macOS-Nutzer gilt eine strikte Frist: Bis zum 12. Juni 2026 müssen alle Nutzer der offiziellen OpenAI-macOS-Anwendungen – darunter ChatGPT Desktop, Codex App und die Atlas-Plattform – ein Update durchführen. Danach blockieren macOS-Sicherheitsmechanismen den Start aller Anwendungen mit alten Zertifikaten.

Neue KI-Gesetze und komplexe Cyberrisiken stellen Unternehmen vor große Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um proaktiv geschützt zu sein. Kostenlosen Report zu KI-Gesetzen und Cyberrisiken anfordern

Für Windows, iOS und Android sind keine sofortigen Maßnahmen nötig – die Zertifikate werden dort über andere Mechanismen aktualisiert. OpenAI hat zudem alle Software-Notarisierungen überprüft und führt strengere Paketmanager-Kontrollen ein.

Branchenweite Folgen

Die „Mini Shai-Hulud“-Kampagne ist bereits die fünfte große Welle dieser Malware-Familie innerhalb eines Jahres. Neben OpenAI traf es auch Mistral AI und UiPath – beide sahen ihre SDKs und Automatisierungstools kompromittiert.

Die Dimension ist gewaltig: Allein der TanStack React Router verzeichnet über 12 Millionen wöchentliche Downloads. Sicherheitsanalysten betonen: Selbst Organisationen mit robusten Protokollen bleiben anfällig für diese Pipeline-Angriffe.

OpenAI reagierte mit der Initiative „Daybreak“ – einem Cyber-Abwehrprogramm, das KI-Modelle zur Schwachstellenerkennung einsetzt. Zudem wurde eine milliardenschwere Einheit gegründet, die Sicherheits-KI-Ingenieure in Unternehmensumgebungen einbettet.

Ausblick: Die Zukunft der Lieferketten-Sicherheit

Der Vorfall zeigt eine grundlegende Herausforderung moderner Softwareentwicklung: Die tiefe Vernetzung von Open-Source-Bibliotheken. Angreifer bewegen sich weg vom Diebstahl statischer Zugangsdaten hin zur Kaperung vertrauenswürdiger Build-Pipelines – das zwingt die Branche, das Konzept der „Provenienz“ neu zu denken.

OpenAI will weiter in Kontrollen investieren, die die Integrität von Drittanbieter-Komponenten prüfen. Für die Entwickler-Community gilt: Jede Umgebung, die am 11. Mai eine kompromittierte TanStack-Version installiert hat, sollte als potenziell gebrochen betrachtet werden – mit der Konsequenz, alle zugänglichen AWS-, GCP- und Kubernetes-Secrets auszutauschen.

de | wissenschaft | 69333205 |