Wurm Mini Shai-Hulud erreicht npm und zwingt OpenAI zur Neuunterzeichnung von Anwendungen für Windows, macOS, iOS und Android
Ein Angriff auf die Release-Pipeline des TanStack-Projekts hat 84 Artefakte in 42 npm-Paketen kompromittiert und dabei OpenAI betroffen, die bestätigte, dass die Signaturschlüssel ihrer Anwendungen für Windows, macOS, iOS und Android kompromittiert wurden und mit der Neuveröffentlichung aller Apps mit neuen Zertifikaten begonnen hat.
Wurm Mini Shai-Hulud erreicht npm und zwingt OpenAI zur Neuunterzeichnung von Anwendungen für Windows, macOS, iOS und Android
Ein Supply-Chain-Angriff auf das npm-Ökosystem hat 84 veröffentlichte Artefakte in 42 Paketen des @tanstack-Projekts am 11. Mai kompromittiert. Der Vorfall, dem die Gruppe TeamPCP zugeschrieben wird und von Forschern als Mini Shai-Hulud bezeichnet wird, hatte in der darauffolgenden Woche Auswirkungen, als OpenAI bestätigte, dass zwei Unternehmensgeräte betroffen waren und die Signaturschlüssel ihrer Anwendungen für Windows, macOS, iOS und Android zu den kompromittierten Assets gehörten.
Die Mechanik des Angriffs trifft direkt einen blinden Fleck in modernen Pipelines. Laut Beschreibung des TanStack-Projekts "hat unsere eigene CI-Pipeline ihr eigenes Veröffentlichungstoken für die Angreifer gestohlen, genau in dem Moment der Erstellung, durch einen Cache, dem jeder in der Kette implizit vertraute". Der Ablauf kombinierte eine Pwn Request-Technik in GitHub Actions, Cache-Verunreinigung und Extraktion des OIDC-Tokens. Die bösartigen Pakete wurden über die offizielle TanStack-Pipeline mit legitimer OIDC-Identität veröffentlicht, nachdem der vom Angreifer kontrollierte Code den Runner während des Workflows entführt hatte. Allein das @tanstack/react-router ist für über 12,7 Millionen wöchentliche Downloads verantwortlich.
Die Antwort von OpenAI
In einer offiziellen Mitteilung gab OpenAI an, die betroffenen Systeme isoliert, Benutzer-Sitzungen widerrufen, Anmeldeinformationen rotiert und vorübergehend Code-Deployment-Flows eingeschränkt zu haben. Das Unternehmen teilt mit, keine Beweise für den Zugriff auf Benutzerdaten, Kompromittierungen von Produktionssystemen oder Softwareänderungen gefunden zu haben. Dennoch wurden die Signaturschlüssel der Anwendungen als verbrannt betrachtet: Alle Apps werden neu unterzeichnet und mit neuen Zertifikaten auf den vier betroffenen Plattformen neu veröffentlicht.
Nicht der erste und nicht der letzte
Die Gruppe TeamPCP ist erfahren. StepSecurity schreibt demselben Akteur die Kompromittierung des Scanners Trivy von Aqua Security im März 2026 und des npm-Pakets von Bitwarden CLI im April zu. Das Muster ist konsistent: Ausnutzung des impliziten Vertrauens in die Release-Pipelines weit verbreiteter Open-Source-Projekte in der Unternehmensinfrastruktur.
Für CISOs und Plattformteams verstärkt der Vorfall eine Agenda, die seit dem Angriff auf SolarWinds gezeichnet wurde und im ursprünglichen Shai-Hulud von 2025 ein neues Kapitel erhielt: Paket-Signaturen müssen gegen Richtlinien validiert werden, reproduzierbare Builds sind kein Luxus mehr, und OIDC-Anmeldeinformationen innerhalb von CI-Runners sind hochgradig wertvolle Ziele. Reagieren ist zu spät; die Arbeit besteht darin, die Kette vor dem nächsten Vorfall zu instrumentieren.