# OpenAI reagiert auf Supply-Chain-Angriff auf TanStack und andere KI-Unternehmen **OpenAI** verpflichtet macOS-Nutzer, ihre Anwendungen bis zum 12. Juni zu aktualisieren, um die Auswirkungen eines kürzlichen Supply-Chain-Angriffs zu mildern. Nach diesem Datum erhalten ältere Versionen keine Updates oder Support mehr, und der Dienst kann die Funktionalität einstellen. Die neuen Zertifikate, die im Update enthalten sind, helfen den Nutzern zu überprüfen, dass die Software von **OpenAI** stammt. ## Umfang des Angriffs Der Angriff ist Teil einer breiteren Kampagne, die die Open-Source-Bibliothek **TanStack** und andere npm- und PyPI-Pakete betrifft, die mit mehreren KI-Unternehmen in Verbindung stehen. **OpenAI** gab in einem Blogbeitrag bekannt, dass zwei Mitarbeitergeräte innerhalb seines Unternehmensnetzwerks betroffen waren. Ein Incident-Response-Unternehmen wurde beauftragt, den Vorfall zu untersuchen und einzudämmen. „Wir beobachteten Aktivitäten, die mit dem öffentlich beschriebenen Verhalten der Malware übereinstimmten, einschließlich unbefugtem Zugriff und auf Anmeldeinformationen ausgerichteter Exfiltrationsaktivitäten, in einer begrenzten Teilmenge interner Quellcode-Repositorys, auf die die beiden betroffenen Mitarbeiter Zugriff hatten“, erklärte **OpenAI**. Das Unternehmen bestätigte, dass nur begrenzte Anmeldeinformationen aus diesen Repositorys exfiltriert wurden und dass keine anderen Informationen oder Codes kompromittiert wurden. Betroffene Systeme wurden isoliert, Benutzersitzungen widerrufen und Anmeldeinformationen rotiert. **OpenAI** gibt an, dass eine gründliche Überprüfung des Benutzer- und Anmeldeinformationsverhaltens keinen Nachweis für den Diebstahl von Kundendaten ergab. Die betroffenen Quellcode-Repositorys umfassen die für iOS-, macOS- und Windows-Produkte. Während Windows- und iOS-Nutzer keine Maßnahmen ergreifen müssen, müssen macOS-Nutzer die Updates installieren. **OpenAI** arbeitet auch mit anderen Plattformen zusammen, um die unbefugte Nutzung der kompromittierten Zertifikate zu verhindern, indem neue Notarisierungen gestoppt werden. „Wir haben auch alle Notarisierungen von Software mit unseren früheren Zertifikaten überprüft, um sicherzustellen, dass keine unerwartete Software-Signierung mit diesen Schlüsseln stattgefunden hat, und validiert, dass unsere veröffentlichte Software keine unbefugten Änderungen aufwies. Wir haben keine Beweise für eine Kompromittierung oder ein Risiko für bestehende Softwareinstallationen gefunden“, fügte das Unternehmen hinzu. Diese Maßnahmen stellen sicher, dass gefälschte Apps, die sich als **OpenAI** ausgeben und die kompromittierten Zertifikate verwenden, standardmäßig von macOS blockiert werden, es sei denn, Benutzer umgehen diese Schutzmaßnahmen explizit. ## TanStack-Angriffsdetails Der Angriff auf **TanStack** löste in der Cybersicherheits- und Entwicklergemeinschaft Alarm aus, nachdem 84 npm-Paket-Artefakte kompromittiert wurden. Diese Pakete wurden modifiziert, um Anmeldeinformationsdiebe einzuschließen, die sich an Entwickler richteten. Einige der betroffenen Pakete haben über 12 Millionen wöchentliche Downloads und werden häufig verwendet. **TanStack** warnte, dass die Malware nicht nur Anmeldeinformationen stiehlt, sondern sich auch selbst verbreitet, andere von Opfern gepflegte Pakete angreift und diese mit derselben Malware neu veröffentlicht. Beamte der britischen Regierung berichteten, dass die bösartigen Pakete in zwei Phasen am 29. April und 11. Mai hochgeladen wurden. Avital Harel, Security Research Lead bei **Upwind**, erklärte, dass der Angriff dem Herunterladen eines legitimen Software-Updates ähnelt, nur um versteckten Code zu finden, der darauf ausgelegt ist, sensible Informationen wie Passwörter und Zugriffstoken zu stehlen. Die nachgelagerten Auswirkungen sind erheblich, da Angreifer Zugriff auf Unternehmenssysteme, Software-Publishing-Konten oder Cloud-Umgebungen erhalten könnten, was potenziell Anwendungen und Dienste betrifft, auf die sich Millionen verlassen. Harel wies auf das destruktive Verhalten der Malware hin, das Aktionen umfasste, die auf bestimmte geografische Regionen abzielten, was auf eine ausgeklügelte und absichtliche Operation hindeutet. ## Rolle von TeamPCP Die Gruppe, die angeblich hinter dem Vorfall steckt, **TeamPCP**, bot gestohlene interne Repositorys und Quellcode von **Mistral AI** zum Verkauf an. **Mistral AI** bestätigte, dass es vom **TanStack**-Vorfall betroffen war. Ein Sprecher von **Mistral AI** erklärte, dass ein Codebasis-Management-System am 12. Mai über einen Supply-Chain-Angriff auf Drittanbietersoftware „vorübergehend“ kompromittiert wurde. Das Unternehmen gibt an, den Angriff schnell neutralisiert und seine Infrastruktur gesichert zu haben. „Aus dieser Untersuchung haben wir geschlossen, dass Angreifer keine Daten über bestimmte nicht-kernige Code-Repositorys hinaus eingesehen haben. Weder unsere gehosteten Dienste, noch verwaltete Benutzerdaten, noch unsere Forschungs- und Testumgebungen wurden kompromittiert“, sagte der Sprecher. **TeamPCP** war auch für einen Angriff im April auf das Open-Source-Python-Paket **LiteLLM** verantwortlich, der zu Sicherheitsverletzungen bei Organisationen wie **Mercor** führte. Die Gruppe nutzte auch einen gestohlenen **Amazon** API-Schlüssel, um letzten Monat die **Europäische Kommission** zu kompromittieren. Supply-Chain-Angriffe sind aufgrund der vernetzten Natur von Open-Source-Bibliotheken und Paketmanagern zu einer beliebten Methode geworden, um eine große Anzahl von Benutzern und Systemen zu kompromittieren. **OpenAI** erklärte, dass es die Bereitstellung spezifischer Sicherheitskontrollen und -technologien beschleunigt hatte, um die Auswirkungen von Supply-Chain-Angriffen nach einem früheren Vorfall im März im Zusammenhang mit mutmaßlichen nordkoreanischen Hackern zu mildern.