### OpenAIs Reaktion auf den TanStack-Angriff **OpenAI** bestätigte, dass die Kompromittierung keine Benutzerdaten, Produktionssysteme oder geistiges Eigentum beeinträchtigte. „Nach der Identifizierung der bösartigen Aktivität haben wir schnell daran gearbeitet, zu untersuchen, einzudämmen und Schritte zum Schutz unserer Systeme zu unternehmen“, erklärte das Unternehmen. Die Angreifer erhielten unbefugten Zugriff auf eine begrenzte Auswahl interner Quellcode-Repositorys und exfiltrierten potenziell einige Anmeldeinformationen. **OpenAI** reagierte, indem es betroffene Systeme isolierte, Benutzersitzungen widerrief und Anmeldeinformationen über betroffene Repositorys rotierte. Sie schränkten auch vorübergehend die Code-Deployment-Workflows ein und überprüften das Verhalten von Benutzern und Anmeldeinformationen. ### Zertifikatswiderruf und macOS-Updates Da die kompromittierten Repositorys Signaturzertifikate für iOS-, macOS- und Windows-Produkte enthielten, hat **OpenAI** die Zertifikate widerrufen und neue ausgestellt. macOS-Benutzer von ChatGPT Desktop, Codex App, Codex CLI und Atlas müssen ihre Apps auf die neuesten Versionen aktualisieren, um die Verbreitung potenziell gefälschter Apps zu verhindern. Die Zertifikate sollen am 12. Juni 2026 widerrufen werden. Benutzer von Windows- und iOS-Apps müssen keine Maßnahmen ergreifen. Dies ist das zweite Mal, dass **OpenAI** seine Code-Signing-Zertifikate für macOS innerhalb kurzer Zeit rotiert hat. Mitte April 2026 widerriefen sie Zertifikate, nachdem ein GitHub Actions-Workflow zum Download der bösartigen Axios-Bibliothek geführt hatte, die von der nordkoreanischen Hackergruppe **UNC1069** kompromittiert worden war. ### Die breitere Bedrohungslandschaft **OpenAI** betonte, dass dieser Vorfall einen wachsenden Trend widerspiegelt, bei dem Angreifer gemeinsame Softwareabhängigkeiten und Entwicklungstools ins Visier nehmen. Die Vernetzung der modernen Softwareentwicklung macht sie anfällig für Upstream-Schwachstellen, die sich schnell über Organisationen hinweg verbreiten können. ### TeamPCPs expandierende Kampagne **TeamPCP** hat die Verantwortung für die Kompromittierung von Hunderten von Paketen übernommen, die mit **TanStack**, **UiPath**, **Mistral AI**, **OpenSearch** und **Guardrails AI** in Verbindung stehen. Dieser fortlaufende Supply-Chain-Angriff zielt darauf ab, Malware zu verbreiten und Anmeldeinformationen von Entwicklersystemen zu stehlen, wodurch der Umfang der Sicherheitsverletzungen weiter vergrößert wird. **TanStack** stellte klar, dass keine Maintainer-Konten direkt kompromittiert wurden. Stattdessen konstruierten die Angreifer einen Weg, den Publish-Token der CI-Pipeline über einen vertrauenswürdigen Cache zu stehlen, was die Raffinesse des Angriffs unterstreicht. ### Supply-Chain-Angriffswettbewerb Um die Besorgnis noch zu verstärken, hat **TeamPCP** in Zusammenarbeit mit dem Cybercrime-Forum **Breached** einen Supply-Chain-Angriffswettbewerb angekündigt, bei dem 1.000 US-Dollar in Monero für diejenigen angeboten werden, die erfolgreich Open-Source-Pakete mit dem **Shai-Hulud-Wurm** kompromittieren. Die Gruppe hat außerdem damit gedroht, 5 GB internen Quellcode von **Mistral AI** zu leaken und verlangt 25.000 US-Dollar für dessen Nichtveröffentlichung. **Mistral AI** bestätigte, dass sie von der **TanStack**-Kompromittierung betroffen waren, was zu trojanisierten Versionen ihrer npm- und PyPI-SDKs führte. Sie berichteten auch, dass ein Entwicklergerät betroffen war. Es gibt keine Beweise dafür, dass ihre Infrastruktur kompromittiert wurde. ### Technische Analyse der Malware Eine detaillierte Analyse des modularen Python-Toolkits, das bei dem Angriff verwendet wurde, zeigt, dass die primäre Adresse des Command-and-Control (C2)-Servers („83.142.209[.]194“) fest codiert ist. Wenn der primäre C2 nicht erreichbar ist, wird ein Fallback-Mechanismus namens FIRESCALE aktiviert. Laut **Hunt.io** sucht FIRESCALE in öffentlichen GitHub-Commit-Nachrichten nach einer signierten alternativen Server-URL, die gegen einen eingebetteten 4096-Bit-RSA-Schlüssel verifiziert wird. Die Exfiltration erfolgt über den primären C2-Server, die FIRESCALE-Umleitung oder das eigene GitHub-Repository des Opfers. Das Modul zur Erfassung von AWS-Anmeldeinformationen der Malware zielt auf alle 19 Verfügbarkeitszonen ab, einschließlich der AWS GovCloud-Regionen. Interessanterweise zeigt die Malware auf Maschinen, die geografisch in Israel oder Iran liegen, destruktives Verhalten, indem sie Audio mit maximaler Lautstärke abspielt und zugängliche Dateien löscht. Dieses Verhalten, zusammen mit der Präsenz der Malware auf Systemen mit russischer Lokalisierung, deutet auf eine gezielte und absichtliche Operation hin. ### Infrastrukturanalyse Die Analyse der Angreifer-kontrollierten Infrastruktur ergab, dass drei verschiedene IP-Adressen im Subnetz 83.142.209[.]0/24 als C2-Server dienten: 83.142.209[.]194, 83.142.209[.]11 und 83.142.209[.]203. Die beiden letzteren wurden in früheren Angriffen auf **Checkmarx** und **Telnyx** verwendet. Esteban Borges, Leiter der Forschung bei **Hunt.io**, bemerkte, dass die C2-Adressen Monate vor dem **TanStack**-Angriff erstmals mit aktivem SSH gesehen wurden, was auf eine Phase der Infrastrukturalterung hindeutet. **Hunt.io** identifizierte das FIRESCALE-Tool und die modulare Python-Malware als Teil eines größeren Toolkits, das von **TeamPCP** verwendet wird, darunter ein Cloud-Dieb, ein Kryptowährungs-Miner und VECT-Ransomware.