OpenAI hat beschlossen, seine Codesignatur-Zertifikate für macOS zu ersetzen, nachdem festgestellt wurde, dass ein GitHub Actions-Workflow am 31. März 2026 eine kompromittierte Version der Axios-Bibliothek (1.14.1) ausgeführt hat. Dieser Workflow hatte Zugriff auf die Zertifikate, die verwendet wurden, um mehrere OpenAI-Anwendungen in macOS - einschließlich ChatGPT Desktop, Codex, Codex CLI und Atlas - zu unterzeichnen, also, obwohl interne Forschung fand keine Beweise für schädliche Verwendung der Schlüssel, das Unternehmen hat sich entschieden, "durch Vorsicht" zu handeln und zu rotieren und zu widerrufen die betroffenen Zertifikate.
Was bedeutet das in der Praxis? Die Signaturzertifikate dienen dazu, sicherzustellen, dass macOS und seine Sicherheitsmechanismen eine Anwendung als legitim und von ihrem Entwickler erkennen. Wenn ein Angreifer eine gültige Kopie dieser Zertifikate bekam, könnte er bösartige Software unterschreiben und es wie eine legitime OpenAI App aussehen lassen. Um dieses Risiko zu mindern, gibt OpenAI neue Zertifikate aus und blockiert in Zusammenarbeit mit Apple die Möglichkeit, zukünftige Software mit dem vorherigen Zertifikat zu notarisieren. Nach Angaben des Unternehmens wird das alte Zertifikat am 8. Mai 2026 vollständig widerrufen; ab diesem Datum könnte macOS die Ausführung von signierten Versionen mit dem Schlüsselabzug verhindern.
OpenAI arbeitete mit einer externen Vorfallreaktionsfirma, um zu prüfen, was geschah. Diese Untersuchung ergab keine Beweise, dass die Zertifikate exfiltriert oder verwendet wurden, um schädliche Software zu verbreiten, noch fanden sie Anzeichen, dass Daten von Benutzern, Passwörtern oder API-Schlüsseln beeinträchtigt wurden. Darüber hinaus hat das Unternehmen die Tätigkeit der vorherigen Notarisierung überprüft und überprüft, dass alles, was mit dieser Bescheinigung bisher unterzeichnet wurde, rechtmäßige Binäre war.
Was sollten Nutzer von macOS tun? Benutzer müssen ihre OpenAI-Anwendungen auf signierte Versionen mit dem neuen Zertifikat aktualisieren; OpenAI warnt, dass alte Versionen möglicherweise nicht mehr ab 8. Mai funktionieren. Die Empfehlung ist es, die integrierten Updates in den Anwendungen zu verwenden oder die Installateure von den offiziellen OpenAI-Seiten herunterzuladen und die von Post, Anzeigen oder Links von nicht verifizierten Drittanbieter-Seiten empfangenen Ausführungsvarianten zu vermeiden.
Das Unternehmen hat auch deutlich gemacht, dass das Problem mit seinen MacOS-Anwendungen verknüpft ist: seine Web-Dienste und Anwendungen für iOS, Android, Windows und Linux wurden nicht von diesem Vorfall betroffen, nach seiner Aussage. OpenAI unterhält ständige Überwachung und behält sich die Möglichkeit vor, den Widerruf des Zertifikats zu beschleunigen, wenn es verdächtige Aktivitäten im Zusammenhang mit dem alten Zertifikat erkennt.
Der Vorfall ist Teil einer Software-Versorgungskette-Bestätigungskampagne, die nach Angaben der Forscher einem mit Nordkorea verbundenen Schauspieler namens UNC1069 zugeschrieben wurde. In diesem Fall haben die Angreifer berichtet, eine Social Engineering-Operation gegen einen Betreuer des Axios-Projekts durchgeführt: Sie organisierten eine falsche Kollaboration Treffen von Video-Lamada, die zur Installation von Malware in der Maschine des Entwicklers führte und, mit Kontokontrolle, veröffentlicht bösartige Versionen des Pakets in npm. Diese Versionen enthielten eine Einheit, die einen Remote-Zugriff Trojaner (RAT) in der Lage, macOS, Windows und Linux anzugreifen, die die Bibliothek in einen Vektor verwickelte, um schädlichen Code an Projekte zu verteilen, die es integriert.
Die Angriffe auf die Open Source-Versorgungskette sind nicht neu, aber sie haben ihre Sichtbarkeit erlangt, um Hunderte oder Tausende von Projekten und Endnutzern durch eine Einheit zu erreichen. Diese Folge betont erneut, dass die Verpflichtungen nicht immer von technischen Fehlern kommen, sondern oft mit Betrug an Menschen gerichtet: falsche Einladungen, trickery collaborative Leerzeichen und Anrufe, wo das Ziel überzeugt ist, Software oder scheinbar harmlose Befehle auszuführen.
Welche technischen und organisatorischen Maßnahmen helfen, dieses Risiko zu reduzieren Es ist etwas, dass viele Entwicklungsteams re-Reviewing: Anwendung des Prinzips des Mindestprivilegs in CI / CD-Pipelines, so dass Workflows keinen unnötigen Zugriff auf Geheimnisse und Zertifikate haben, oft Verschlüsselung und rotierende Schlüssel, unter Verwendung von Signaturen und Integritätskontrollen in Abhängigkeiten, erfordert eine starke Authentifizierung (z.B. 2FA) auf kritische Wartung und Überwachung ungewöhnlicher Aktivität in Repository- und Paketkonten. GitHub bietet Anleitungen zur Aushärtung von Aktions- und Minderungsrisiken in kontinuierlichen Integrationsumgebungen; außerdem veröffentlichen Organisationen wie CISA Empfehlungen zum Schutz der Software-Versorgungskette, die für Geräte aller Größen nützlich sind.
Für diejenigen, die sich vertiefen wollen, veröffentlicht OpenAI einen Sicherheitshinweis mit Details des Vorfalls und Aktionen durchgeführt in seinem offiziellen Kommuniqué. Wenn Sie auf der Suche nach einem Kontext sind, wie die Notarisierung und Unterschrift von Anwendungen in macOS-Werken, Apples Notarisierungsdokumentation bietet eine technische Ansicht, warum diese Zertifikate für die Systemsicherheit kritisch sind: macOS Software notarisieren. Für Teams, die bei GitHub Actions eingesetzt werden, ist GitHubs guter Sicherheitspraxisführer ein praktischer Hinweis, die Angriffsfläche in den Pipelines zu reduzieren: Hardening GitHub Aktionen. Und um die Größe und Risiken dieser Art von Kampagne zur Lieferkette zu verstehen, bietet die CISA-Agentur Ressourcen und praktische Beratung: CISA - Lieferkette Sicherheit.
Die Schlüsselstunde ist doppelt: einerseits technische Sicherheitsfragen - Zugangskontrolle, Verdrehung von Geheimnissen und Audits - andererseits bleibt die menschliche Sicherheit die Achilles Ferse. Solange sich die Teams weiterhin auf Pakete von Drittanbietern und automatisierten Integrationen verlassen, ist es unerlässlich, technische Kontrollen mit Schulungen und Protokollen zu kombinieren, die die Wahrscheinlichkeit verringern, dass eine Einladung oder eine schädliche Datei die Tür zu einem groß angelegten Eindringen öffnet.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...