OpenAI hat seine Code-Signing-Zertifikate für macOS-Anwendungen widerrufen und ersetzt, nachdem ein Supply-Chain-Angriff auf das npm-Paket Axios eine automatisierte GitHub-Actions-Build-Pipeline des Unternehmens erreicht hatte. Obwohl es laut aktuellem Stand keine Hinweise auf einen Missbrauch der Schlüssel gibt, bewertet OpenAI das Risiko für die Integrität der Software-Lieferkette als so hoch, dass eine vollständige Zertifikatsrotation erforderlich war.
Hintergrund: Kompromittierung des npm-Pakets Axios
Der Vorfall geht auf eine Manipulation des weit verbreiteten HTTP-Clients Axios im npm-Ökosystem zurück. Angreifer veröffentlichten eine maliziöse Version (Axios 1.14.1), die bei der Installation einen verschleierten postinstall-Script setup.js ausführte. Dieser fungierte als Dropper und lud abhängig vom Betriebssystem maßgeschneiderte Schadsoftware für macOS, Windows oder Linux nach. Supply-Chain-Angriffe auf Open-Source-Pakete gelten seit Jahren als eine der kritischsten Bedrohungen moderner Softwareentwicklung, wie etwa Berichte von Sonatype und der OpenSSF wiederholt betonen.
Social-Engineering-Angriff auf Maintainer und Gruppe UNC1069
Ziel der Operation war den Ermittlungen zufolge ein Maintainer des Axios-Projekts. Die mutmaßlich nordkoreanische Gruppe UNC1069 nutzte dabei Social Engineering: In einem fingierten Videocall wurde eine technische Störung vorgetäuscht, um den Entwickler zur Installation bösartiger Software zu verleiten. Nach der Kompromittierung seines Kontos konnten die Angreifer manipulierte Paketversionen in das offizielle npm-Repository hochladen. Solche gezielten Angriffe auf Maintainer kritischer Bibliotheken erinnern an frühere Fälle wie event-stream und unterstreichen die zentrale Rolle menschlicher Faktoren in der Lieferkettensicherheit.
Wie der Axios-Angriff die OpenAI-Build-Pipeline erreichte
Rolle von GitHub Actions und privilegierten CI/CD-Jobs
Bei OpenAI wurde die infizierte Axios-Version im Rahmen einer automatisierten Build-Pipeline über GitHub Actions ausgeführt. Der betroffene CI/CD-Job verfügte über erweiterte Berechtigungen und Zugriff auf besonders sensible Artefakte, darunter macOS-Code-Signing-Zertifikate für Anwendungen wie ChatGPT Desktop, Codex, Codex CLI und Atlas. Das bedeutet: Der Schadcode lief in einem Kontext, in dem er theoretisch auf private Schlüssel zugreifen konnte, die zum Signieren von macOS-Binaries genutzt werden.
Die forensische Analyse – unterstützt durch einen externen Incident-Response-Dienstleister – ergab bislang keine Anzeichen dafür, dass Zertifikate exfiltriert, manipuliert oder missbräuchlich verwendet wurden. Dennoch gilt in der Branche der Grundsatz „Assume Breach“: Sobald nicht vertrauenswürdiger Code in einem hochprivilegierten Prozess ausgeführt wird, muss von einer potenziellen Kompromittierung ausgegangen und entsprechend gehandelt werden.
Risiken für Code-Signing und das macOS-Ökosystem
Code-Signing-Zertifikate bilden die Basis der Vertrauenskette in macOS. Sie ermöglichen es, Anwendungen eindeutig einem Entwicklerkonto zuzuordnen und sie über Mechanismen wie Gatekeeper und notarization zu prüfen. Wären die OpenAI-Schlüssel in die Hände der Angreifer gelangt, hätten diese eigene Schadsoftware mit einem scheinbar legitimen OpenAI-Zertifikat signieren und so Sicherheitsmechanismen von macOS umgehen können.
OpenAI stuft den betroffenen Zertifikatssatz deshalb als potenziell kompromittiert ein und ersetzt ihn präventiv. Die Überprüfung der Apple-Notarisierungshistorie ergab, dass mit dem Zertifikat ausschließlich legitime OpenAI-Anwendungen signiert wurden. Das Risiko liegt somit nicht in einer nachgewiesenen Ausnutzung, sondern in der theoretischen Möglichkeit, die aufgrund der Art des Vorfalls nicht ausgeschlossen werden kann – ein Vorgehen, das den gängigen Best Practices für Incident Response entspricht.
Auswirkungen auf Nutzerinnen und Nutzer von OpenAI-macOS-Apps
Nach derzeitigem Stand gibt es keine Hinweise auf kompromittierte Nutzerdaten, interne Systeme oder Quellcodes. Alle verfügbaren Indikatoren deuten darauf hin, dass die Auswirkungen des Vorfalls auf die Build- und Signaturinfrastruktur begrenzt sind. Dennoch müssen Anwenderinnen und Anwender von OpenAI-Software für macOS aktiv werden: Ältere Versionen, die mit den zurückgezogenen Zertifikaten signiert wurden, werden ab dem 8. Mai 2026 nicht mehr startbar sein, da Apple den entsprechenden Entwicklerzertifikaten endgültig das Vertrauen entziehen wird.
OpenAI stellt klar, dass die folgenden Dienste und Plattformen nicht betroffen sind:
- Web-Anwendungen und Cloud-Services von OpenAI,
- Mobile Apps für iOS und Android,
- Clients für Windows- und Linux-Umgebungen,
- Nutzerkonten, Passwörter, API-Schlüssel und andere Zugangsdaten.
Lehren für die Sicherheit der Software-Lieferkette
Der Axios-Vorfall reiht sich in eine Serie prominenter Software-Supply-Chain-Angriffe ein – von SolarWinds über Codecov bis hin zu wiederkehrenden Paket-Manipulationen in npm und PyPI. Branchenreports wie der „State of the Software Supply Chain“ von Sonatype zeigen einen deutlichen Anstieg solcher Angriffe, die gezielt die Vertrauensbeziehungen moderner DevOps-Ökosysteme ausnutzen.
Aus Sicht der Cybersicherheit lassen sich mehrere zentrale Handlungsfelder ableiten:
- Harte Kontrolle von Abhängigkeiten: Einsatz von Lockfiles, reproduzierbaren Builds, „trusted registries“ und internen Spiegeln, um unerwartete Paketupdates zu verhindern.
- Least-Privilege-Prinzip in CI/CD: Sensible Secrets wie Zertifikate, Tokens und SSH-Schlüssel dürfen nur in strikt isolierten, minimal privilegierten Jobs verfügbar sein; Zugriffe sollten fein granular und zeitlich begrenzt erfolgen.
- Regelmäßige Rotation von Schlüsseln: Code-Signing-Zertifikate und andere kryptographische Schlüssel sollten zyklisch erneuert und nach jedem Sicherheitsvorfall konsequent ersetzt werden.
- Vertrauensprüfung externer Pakete: Ergänzend zu Signaturen und Checksums sollten Organisationen automatisierte Analysen von Paketverhalten, Anomalieerkennung in postinstall-Skripten und strikte Allowlists für kritische Bibliotheken etablieren.
- Sensibilisierung für Social Engineering: Maintainer und DevOps-Teams benötigen Schulungen zu Social-Engineering-Taktiken, da Angriffe zunehmend auf individuelle Entwicklerprofile abzielen.
Der Umgang von OpenAI mit dem Axios-Vorfall verdeutlicht, dass auch große Technologieunternehmen nicht vor Angriffen auf die Software-Lieferkette gefeit sind – wohl aber ihre Resilienz durch Transparenz, schnelle Reaktion und robuste Prozesse erheblich verbessern können. Organisationen sollten diesen Vorfall als Anlass nehmen, ihre eigenen CI/CD-Pipelines, Zugriffsrechte und Schlüsselmanagementprozesse kritisch zu überprüfen, Abhängigkeiten konsequent zu monitoren und Endnutzer zu regelmäßigen Updates zu motivieren. Wer Software entwickelt oder einsetzt, trägt damit aktiv zur Stärkung der gesamten digitalen Vertrauenskette bei.
