**OpenAI** enthüllte, dass ein **GitHub Actions**-Workflow, der zum Signieren seiner macOS-Apps verwendet wurde, am 31. März zum Download der bösartigen **Axios**-Bibliothek führte. Das Unternehmen erklärte: „Aus übermäßiger Vorsicht ergreifen wir Maßnahmen zum Schutz des Prozesses, der unsere macOS-Anwendungen als legitime **OpenAI**-Apps zertifiziert. Wir fanden keine Beweise dafür, dass auf **OpenAI**-Benutzerdaten zugegriffen wurde, dass unsere Systeme oder unser geistiges Eigentum kompromittiert wurden oder dass unsere Software verändert wurde.“ Diese Offenlegung folgt einer Zuordnung der **Google Threat Intelligence Group (GTIG)**, die die Supply-Chain-Kompromittierung des **npm**-Pakets **Axios** der nordkoreanischen Hackergruppe **UNC1069** zuschreibt. ### Details zur Axios-Kompromittierung Der Angriff beinhaltete die Übernahme des **npm**-Kontos des Paketbetreuers, um zwei präparierte Versionen, 1.14.1 und 0.30.4, einzuspielen. Diese Versionen enthielten eine bösartige Abhängigkeit namens „plain-crypto-js“, die eine plattformübergreifende Backdoor namens WAVESHAPER.V2 für Windows, macOS und Linux-Systeme bereitstellte. **OpenAI** bestätigte, dass sein **GitHub Actions**-Workflow, Teil seines macOS-App-Signierungsprozesses, die **Axios**-Version 1.14.1 heruntergeladen und ausgeführt hat. Dieser Workflow hatte Zugriff auf ein Zertifikat und Notarisierungsmaterial, das zum Signieren von ChatGPT Desktop, Codex, Codex CLI und Atlas verwendet wurde. „Unsere Analyse des Vorfalls ergab, dass das in diesem Workflow vorhandene Signaturzertifikat aufgrund des Zeitpunkts der Payload-Ausführung, der Zertifikatinjektion in den Job, der Sequenzierung des Jobs selbst und anderer mildernder Faktoren wahrscheinlich nicht erfolgreich vom bösartigen Payload exfiltriert wurde“, so das Unternehmen. ### Widerruf und Auswirkungen auf Zertifikate Obwohl keine Beweise für Datenexfiltration gefunden wurden, behandelt **OpenAI** das Zertifikat als kompromittiert und widerruft und rotiert es. Infolgedessen werden ältere Versionen aller **OpenAI**-macOS-Desktop-Apps ab dem 8. Mai 2026 keine Updates oder Support mehr erhalten. Apps, die mit dem vorherigen Zertifikat signiert wurden, werden standardmäßig von den macOS-Sicherheitsfunktionen blockiert, sodass sie nicht heruntergeladen oder gestartet werden können. Die frühesten Releases, die mit ihrem aktualisierten Zertifikat signiert wurden, sind: * ChatGPT Desktop - 1.2026.071 * Codex App - 26.406.40811 * Codex CLI - 0.119.0 * Atlas - 1.2026.84.2 **OpenAI** arbeitet außerdem mit **Apple** zusammen, um sicherzustellen, dass Software, die mit dem vorherigen Zertifikat signiert wurde, nicht neu notariell beglaubigt werden kann. Das 30-Tage-Fenster bis zum 8. Mai 2026 soll die Benutzerstörung minimieren und ausreichend Zeit für Updates bieten. **OpenAI** erklärte: „Sollte das Zertifikat erfolgreich von einem böswilligen Akteur kompromittiert worden sein, könnte er es verwenden, um seinen eigenen Code zu signieren und ihn als legitime **OpenAI**-Software erscheinen zu lassen. Wir haben neue Software-Notarisierungen mit dem alten Zertifikat gestoppt, sodass neue Software, die mit dem alten Zertifikat von einem unbefugten Dritten signiert wurde, standardmäßig von den macOS-Sicherheitsfunktionen blockiert würde, es sei denn, ein Benutzer umgeht sie ausdrücklich.“ ### Zwei Supply-Chain-Angriffe erschüttern den März Der Einbruch bei **Axios** war einer von zwei großen Supply-Chain-Angriffen im März, die auf das Open-Source-Ökosystem abzielten. Der andere Vorfall richtete sich gegen **Trivy**, einen Schwachstellenscanner von **Aqua Security**, was zu kaskadierenden Auswirkungen über fünf Ökosysteme führte und zahlreiche beliebte Bibliotheken betraf, die davon abhängig waren. Der Angriff, der der Cyberkriminellengruppe **TeamPCP** (auch bekannt als UNC6780) zugeschrieben wird, setzte einen Anmeldedatendieb namens SANDCLOCK ein, um sensible Daten aus Entwicklerumgebungen zu extrahieren. Die gestohlenen Anmeldedaten wurden dann verwendet, um **npm**-Pakete zu kompromittieren und einen sich selbst verbreitenden Wurm namens CanisterWorm einzuspielen. Tage später wurden aus der **Trivy**-Intrusion gestohlene Geheimnisse verwendet, um dieselbe Malware in zwei von **Checkmarx** gepflegten **GitHub Actions**-Workflows einzuschleusen. Die Angreifer veröffentlichten dann bösartige Versionen von **LiteLLM** und **Telnyx** im Python Package Index (PyPI), die beide **Trivy** in ihrer CI/CD-Pipeline verwenden. **Trend Micro** bemerkte in einer Analyse des Angriffs: „Die **Telnyx**-Kompromittierung deutet auf eine fortlaufende Änderung der Techniken hin, die bei der Supply-Chain-Aktivität von **TeamPCP** verwendet werden, mit Anpassungen bei Tools, Bereitstellungsmethoden und Plattformabdeckung.“ „In nur acht Tagen hat der Akteur Sicherheitsscanner, KI-Infrastruktur und nun Telekommunikations-Tools durchlaufen, seine Bereitstellung von Inline-Base64 auf .pth-Autoausführung und schließlich auf Split-File-WAV-Steganographie umgestellt und gleichzeitig von nur Linux auf Dual-Plattform-Targeting mit Windows-Persistenz erweitert.“ Auf Windows-Systemen führte der Hack zur Bereitstellung einer ausführbaren Datei namens „msbuild.exe“, die Obfuskationstechniken zur Umgehung der Erkennung einsetzt und DonutLoader, einen Shellcode-Loader, aus einem PNG-Bild innerhalb der Binärdatei extrahiert, um einen voll ausgestatteten Trojaner und einen Beacon im Zusammenhang mit AdaptixC2, einem Open-Source-Command-and-Control (C2)-Framework, zu laden. Zusätzliche Analysen der Kampagne, die nun als **CVE-2026-33634** identifiziert wurde, wurden von verschiedenen Cybersicherheitsanbietern veröffentlicht: * [**CrowdStrike**](https://www.crowdstrike.com/en-us/blog/from-scanner-to-stealer-inside-the-trivy-action-supply-chain-compromise/) * FUTURESEARCH * Hexastrike * Kudelski Security * [**Microsoft**](https://www.microsoft.com/en-us/security/blog/2026/03/24/detecting-investigating-defending-against-trivy-supply-chain-compromise/) * OpenSourceMalware * [Palo Alto Networks Unit 42](https://unit42.paloaltonetworks.com/teampcp-supply-chain-attacks/) * [ReversingLabs](https://www.reversinglabs.com/blog/teampcp-supply-chain-attack-spreads) * [SOCRadar](https://socradar.io/blog/teampcp-checkmarx-github-actions-attack/) * [Sonatype](https://www.sonatype.com/blog/compromised-litellm-pypi-package-delivers-multi-stage-credential-stealer) * [StepSecurity](https://www.stepsecurity.io/blog/litellm-credential-stealer-hidden-in-pypi-wheel) * [Snyk](https://snyk.io/blog/poisoned-security-scanner-backdooring-litellm/) * [Trend Micro](https://www.trendmicro.com/en_us/research/26/c/inside-litellm-supply-chain-compromise.html) * [TRUESEC](https://www.truesec.com/hub/blog/malicious-pypi-package-litellm-supply-chain-compromise) * [Wiz](https://www.wiz.io/blog/threes-a-crowd-teampcp-trojanizes-litellm-in-continuation-of-campaign) Die Supply-Chain-Kompromittierungs-Rampage von **TeamPCP** mag beendet sein, aber die Gruppe hat sich seitdem darauf konzentriert, bestehende Anmeldedaten zu monetarisieren, indem sie sich mit anderen finanziell motivierten Gruppen wie Vect, LAPSUS$ und ShinyHunters zusammengeschlossen hat. Beweise deuten darauf hin, dass der Bedrohungsakteur auch eine proprietäre Ransomware-Operation unter dem Namen CipherForce gestartet hat.