OpenAI veröffentlicht detailliertes Post-Mortem zur massiven Supply-Chain-Attacke über Axios-Bibliothek

OpenAI hat am 10. April 2026 ein umfassendes Post-Mortem zur Kompromittierung der beliebten JavaScript-Bibliothek Axios veröffentlicht. Die Attacke, die am 31. März 2026 stattfand, nutzte eine kompromittierte Version der weit verbreiteten HTTP-Client-Bibliothek, um in Build-Prozesse einzudringen. OpenAI war direkt betroffen, da ein interner GitHub-Actions-Workflow eine bösartige Version herunterlud.

Was genau passiert ist

Angreifer – nach Einschätzung mehrerer Sicherheitsforscher mit Verbindungen zu nordkoreanischen Gruppen – übernahmen das npm-Konto des Haupt-Maintainers von Axios. Sie veröffentlichten zwei kompromittierte Versionen (1.14.1 und 0.30.4), die eine versteckte Abhängigkeit (plain-crypto-js) enthielten. Diese führte beim npm install ein Post-Install-Skript aus, das einen Cross-Platform Remote Access Trojan (RAT) installierte. Die bösartigen Versionen waren nur etwa drei Stunden online, erreichten aber aufgrund der enormen Popularität von Axios (über 100 Millionen Downloads pro Woche) Tausende Systeme.

Bei OpenAI lud ein GitHub-Workflow zur Signierung von macOS-Apps genau diese Version herunter. Der Workflow hatte Zugriff auf das Code-Signing-Zertifikat für Anwendungen wie ChatGPT Desktop, Codex, Codex CLI und Atlas. OpenAI betont jedoch: Es gibt keine Hinweise auf eine erfolgreiche Exfiltration des Zertifikats, auf Datendiebstahl, Kompromittierung interner Systeme oder Veränderung der Software selbst.

Maßnahmen von OpenAI

Aus reiner Vorsicht hat OpenAI das betroffene macOS-Zertifikat widerrufen und vollständig rotiert. Nutzer der betroffenen macOS-Anwendungen werden dringend aufgefordert, auf die neuesten Versionen zu aktualisieren. Zusätzlich wurden die GitHub-Workflows überarbeitet, um solche Misskonfigurationen künftig zu verhindern. Das Unternehmen veröffentlichte technische Details, eine Root-Cause-Analyse und FAQs, um Transparenz zu schaffen und der Branche zu helfen.

Einordnung und Implikationen

Der Vorfall zeigt erneut die enorme Verwundbarkeit der Open-Source-Supply-Chain. Axios wird in Millionen von Projekten verwendet – ein einzelner kompromittierter Maintainer kann weltweit Schaden anrichten. Die Attacke erfolgte durch Social Engineering und Account-Übernahme, keine Code-Änderung am Kern der Bibliothek.

Für OpenAI bleibt der Schaden begrenzt, unterstreicht aber die Risiken bei der Automatisierung von Build- und Signier-Prozessen. Der Fall dürfte die Diskussion um bessere Supply-Chain-Sicherheit weiter anheizen: SBOMs (Software Bill of Materials), strengere npm-Berechtigungen, Code-Signing mit kurzen Gültigkeitsdauern und verstärkte Überwachung von Maintainer-Accounts.

OpenAI sieht den Vorfall als Teil eines breiteren Trends von Supply-Chain-Attacken auf KI-Unternehmen und hat angekündigt, seine eigenen Sicherheitsmaßnahmen weiter zu verschärfen. Nutzer und Entwickler werden aufgerufen, Abhängigkeiten regelmäßig zu prüfen und bei verdächtigen Paketen sofort zu reagieren. Der Service von OpenAI selbst war zu keiner Zeit beeinträchtigt.