Auf den Punkt: OpenAI widerrief macOS-Codesignaturzertifikate nach einem Supply-Chain-Angriff auf zwei Mitarbeitergeräte und fordert sofortige App-Updates bis zum 12. Juni 2026.
Zwei Arbeitsstationen von OpenAI-Mitarbeitern wurden durch die Mini-Shai-Hulud-Supply-Chain-Attacke auf TanStack kompromittiert. Nach Angaben des Unternehmens wurden keine Nutzerdaten, Produktionssysteme oder Intellectual Property beeinträchtigt.
OpenAI erkannte Verhalten, das bekannten Mustern der Malware entsprach — etwa unbefugter Zugriff und Exfiltration von anmeldebezogenen Daten — in einem kleinen Bestand von internen Code-Repositories, auf die die beiden betroffenen Mitarbeiter zugreifen konnten. Nur eine geringe Menge an Zugangsdaten wurde erfolgreich aus den betroffenen Repositories exfiltriert; anderer Code oder Quelltext blieben unberührt.
Nach Benachrichtigung isolierte OpenAI die betroffenen Systeme und Konten, beendete aktive Sitzungen, rotierte alle Zugangsdaten in den beeinflussten Repositories und unterbrach temporär Code-Deployment-Prozesse. Da die kompromittierten Repositories Signaturzertifikate für iOS-, macOS- und Windows-Produkte enthielten, widerrief das Unternehmen diese Zertifikate und stellte Ersatzzertifikate aus. Folge: Nutzer von ChatGPT Desktop, Codex App, Codex CLI und Atlas müssen ihre macOS-Apps auf die neuesten Versionen aktualisieren. Windows- und iOS-Apps erfordern keine Maßnahmen. Neue Downloads und App-Starts mit dem alten Zertifikat werden durch macOS-Schutzmechanismen nach dem 12. Juni 2026 blockiert.
Dies ist bereits die zweite Zertifikat-Rotation in aufeinanderfolgenden Monaten. Mitte April 2026 hatte OpenAI seine macOS-Signaturzertifikate erneuert, nachdem ein GitHub-Actions-Workflow, der zum Signieren der macOS-Apps genutzt wurde, die von der nordkoreanischen Gruppe UNC243 manipulierte Axios-Bibliothek am 31. März heruntergeladen hatte.
OpenAI betont, dass diese Vorfälle eine wachsende Bedrohungsentwicklung widerspiegeln: Angreifer zielten zunehmend auf gemeinsame Software-Abhängigkeiten und Entwicklungswerkzeuge ab, nicht auf einzelne Unternehmen. Moderne Software ruhe auf einem eng verzahnten Ökosystem aus Open-Source-Bibliotheken, Paketmanagern und CI/CD-Infrastruktur — eine Schwachstelle upstream könne sich breit und schnell über Organisationen ausbreiten.
Quelle: ainews-dev.lumi-systems.io · Erschienen 15. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.