Die Software-Versorgungskette im Scheck: kompromittierte Zertifikate, exponierte Geheimnisse und Angriffe auf Axios, Trivy und PyPI

Die Software-Lieferkette zeigte wieder, wie fragiles Vertrauen in das offene Ökosystem sein kann: OpenAI hat gezeigt, dass ein Workflow vonGitHub Aktionenverwendet, um seine Anwendungen auf macOS zu unterzeichnen, heruntergeladen eine kompromittierte Version der Axios Buchhandlung am 31. März. Obwohl das Unternehmen behauptet, keinen Zugang zu Benutzerdaten oder Manipulation seiner Software erkannt zu haben, ist die Schwere des Vorfalls, dass dieser Workflow Zugang zu einem Zertifikat und Notarisierungsmaterialien hatte, die verwendet wurden, um mehrere beliebte Anwendungen des Unternehmens zu unterzeichnen.

Die digitale Anwendungssignatur ist genau das, was Betriebssysteme auf Software verlassen können, und dass ein automatisierter Prozess in der Publishing-Kette böswilligen Code läuft, ist ein Szenario, das von allen für die Sicherheit verantwortlich. OpenAI erklärte, dass die Ausführung von Axios 1.14.1 innerhalb der macOS Signatur Pipeline für ChatGPT Desktop, Codex (app und CLI) und Atlas stattgefunden habe. Nach einer forensischen Analyse hält das Unternehmen es für unwahrscheinlich, dass die Nutzlast das Zertifikat aufgrund der Sequenz und Chronologie der Ereignisse ausfiltern könnte, durch Vorsicht, hat beschlossen, das Zertifikat als verpflichtet zu behandeln: es revokiert und dreht es.

Als direkte Maßnahme, OpenAI Details, dass die alten Versionen seiner macOS-Anwendungen erhalten keine Updates und Unterstützung vom 8. Mai 2026 und dass der mit dem vorherigen Zertifikat signierte Aufbau durch die standardmäßigen macOS-Schutz blockiert wird, deren Download oder Veröffentlichung verhindert, es sei denn, der Benutzer übergibt diese Barrieren manuell. Es hat auch die ersten Versionen angekündigt, die bereits mit dem neuen Zertifikat unterzeichnet wurden: ChatGPT Desktop 1.2026.071, Codex App 26.406.40811, Codex CLI 0.119.0 und Atlas 1.2026.84.2. Parallel dazu arbeitet das Unternehmen mit Apple zusammen, um zu verhindern, dass neue Software mit dem vorherigen Anmeldetag notarisiert wird, um Risiken und Verwirrung für Anwender zu minimieren, während der Übergang abgeschlossen ist.

Dieser Vorfall mit Axios ist nicht isoliert: Google Threat Intelligence Group (GTIG) hat die Überprüfung dieses Pakets einem Schauspieler zugeschrieben, dem es als UNC1069 folgt. In dieser Operation nahmen die Angreifer die Kontrolle über das Konto des Betreuers und veröffentlichten vergiftete Versionen, die eine schädliche Abhängigkeit namens "plain-cryptojs", die eine multi-platform Hintertür identifiziert als WAVESHAPER. V2, mit Funktionen, um Windows, macOS und Linux zu beeinflussen. Der Fall Axios war, zusammen mit einer anderen Serie von Intrusionen, ein Teil einer Welle von Angriffen auf Open-Source-Komponenten, die die Gemeinschaft im März schüttelte.

Die andere große Operation zielte auf Trivy, den Aqua Security Sicherheits-Scanner. Forscher Attribut diesen Angriff auf eine Gruppe namens TeamPCP (auch als UNC6780 bezeichnet) und beschreiben eine Kette von Ausbeutung, in der Anmeldeinformationen Diebe - wie die sogenannte SANDCLOCK Malware - verwendet wurden, um Geheimnisse aus Entwicklerumgebungen, Kompromisskonten zu filtern und schließlich bösartige Gebühren zu verbreiten, die selbstreplizierende Würmer wie CanisterWorm enthalten. Aus diesen gestohlenen Anmeldeinformationen wurde die kontinuierliche Integrationsautomatisierung von Dritten kontaminiert, so dass Angreifer Malware in Pakete injizieren, die in verschiedenen Datensätzen veröffentlicht wurden, einschließlich des Python Package Index (PyPI).

Sicherheitsanalysten und Cyber-Sicherheitsanbieter haben den Umfang und die Raffinesse dieser Kampagnen dokumentiert. Neben GTIG haben Firmen wie Trend Micro, CrowdStrike, Microsoft, ReversingLabs und andere Analysen veröffentlicht, die Techniken beschreiben, die von der Verwendung von bildgeschützten Ladegeräten bis hin zu automatischen Ausführungsmechanismen in Python-Umgebungen und der Ausbeutung von Geheimnissen, die sich seitlich durch Cloud-Infrastruktur bewegen. Ein markantes Beispiel unter Windows war die Aufnahme eines ovalen ausführbaren, das ein Ladegerät aus einem PNG-Bild extrahierte, um einen Trojaner mit Beaconing und Remote Control-Funktionen bereitzustellen.

Mehr beunruhigend ist das Volumen potenziell exponierter Geheimnisse: Google warnte, dass sie "Hundreds of Tausende" von gestohlenen Anmeldeinformationen und Token durch diese Vorfälle zirkulieren könnten, was ein anhaltendes Risiko von neuen Einbrüchen, Erpressung und Diebstahl von digitalen Vermögenswerten treibt. Organisationen wie die Europäische Kommission und private Unternehmen haben die Auswirkungen der Trivy-Kampagne bestätigt, mit Datenextraktion und operativen Konsequenzen, die sogar Entscheidungen wie die vorübergehende Aussetzung der Beziehungen durch betroffene Vertragspartner verursacht haben.

Die Geschwindigkeit, mit der die Angreifer validierten und benutzten gestohlenen Anmeldeinformationen waren eine der alarmierendsten Faktoren: Nach Studien wurde die Überprüfung einer geheimen und anschließenden Exploration der Zielumgebung oft in weniger als 24 Stunden abgeschlossen. Dies hat die Forscher davor gewarnt, dass, obwohl mehrere Operationen der gleichen Gruppe zugeschrieben werden, Anmeldeinformationen nicht zwischen verschiedenen Akteuren mit unterschiedlichen Zielen ausgeschlossen werden können.

In Anbetracht dieses Szenarios empfehlen sowohl die Wartung von Plattformen als auch die Wartung von Sicherheitsunternehmen, sich von implizitem Vertrauen auf eine systematische Überprüfung in jeder Schicht zu bewegen: die Verwendung von unwandelbaren Referenzen für Abhängigkeiten anstelle von Etiketten, die den Umfang und die Lebensdauer von Anmeldeinformationen verändern, Basisbilder und Ausführungsumgebungen aushärten und CI-Läufer als mögliche kompromittierte Vektoren behandeln können. Initiativen, um zuverlässige Veröffentlichungen in Aufzeichnungen wie npm und PyPI und administrative Maßnahmen wie die Annahme von Authentifizierung zweier Faktoren zu zwingen, sind Schritte, die dringend gefördert werden.

Außerdem, Agenturen wie der Amerikaner CISA haben einige dieser Schwachstellen in ihre Kataloge von ausgebeuteten Bedrohungen aufgenommen und bestimmte Agenturen dazu gezwungen, innerhalb bestimmter Fristen eine Minderung vorzunehmen. Geheime Analyse- und Detektionsplattformen für verdächtige Hinrichtungen, sowie kontinuierliche Audits von Pipelines und Code-Repositories, sind zu wesentlichen Praktiken geworden, um die Wahrscheinlichkeit zu reduzieren, dass ein anfängliches Engagement zu einem größeren Eindringen führen wird.

Wenn es eine klare Lektion gibt, ist es, dass die Sicherheit der modernen Software nicht mehr nur die Verantwortung derer ist, die die endgültige Anwendung schreiben: es hängt von der gesamten Kette, von Drittbuchhandlungen zu Automatisierungsskripten und Geheimnissen gespeichert in CI / CD-Diensten. Während sich technische Teams an diese Realität anpassen, betonen die jüngsten Vorfälle, dass Organisationen in präventive Kontrollen und agile Antworten investieren müssen, und dass Nutzer ihre Anwendungen auf dem neuesten Stand halten, um zu vermeiden, dass sie von potenziell gefährdeten Zertifikaten oder Komponenten betroffen werden.

Für weitere technische Informationen und Analysen zu diesen Kampagnen wenden Sie sich bitte an die Mitteilungen und Schriften der Antwortteams und Unterschriften, die die Vorfälle untersucht haben, einschließlich des Blogs der Google Threat Analysis Group, die Berichte mehrerer Cyber-Sicherheitsunternehmen und OpenAI offizielle Publikationen auf ihrem Blog: Google TAG, Blog für die Zukunft, CrowdStrike, WEITER und den CISA Katalog CISA.