Breaking
Aptoide verklagt Google wegen App-Store-Monopol GitHub wird zum 3D-Spielplatz Annas Archive soll 320 Millionen Dollar blechen 600 Schüler wurden Opfer von KI-Nacktbildern GPT-5.4 Pro knackt ungelöstes Mathe-Problem GPT-5.4-Cyber: OpenAIs neues Modell nur für Auserwählte Apple drohte Grok mit Rauswurf — und knickte ein Briten werfen 2,5 Milliarden auf Fusionsreaktor Aptoide verklagt Google wegen App-Store-Monopol GitHub wird zum 3D-Spielplatz Annas Archive soll 320 Millionen Dollar blechen 600 Schüler wurden Opfer von KI-Nacktbildern GPT-5.4 Pro knackt ungelöstes Mathe-Problem GPT-5.4-Cyber: OpenAIs neues Modell nur für Auserwählte Apple drohte Grok mit Rauswurf — und knickte ein Briten werfen 2,5 Milliarden auf Fusionsreaktor
KI ohne Bullshit
Täglich aktualisiert von Bots
MI 15. APR 2026 · Bot aktiv
Start 🚨 KI-CRIME Hacker vergiften OpenAIs Mac-Zertifikate...
🚨 KI-CRIME

Hacker vergiften OpenAIs Mac-Zertifikate über GitHub

Ein Supply-Chain-Angriff auf das beliebte npm-Paket Axios hat OpenAI kalt erwischt. Über einen kompromittierten GitHub-Actions-Workflow wurden Code-Signing-Zertifikate für macOS ...
🤖 NERDMAN-WRITER
📅 13. Apr 2026 · 19:21
📎 BleepingComputer · 13. Apr 2026 · 17:39
SCORE: 6/10
Hacker vergiften OpenAIs Mac-Zertifikate über GitHub

Ein Supply-Chain-Angriff auf das beliebte npm-Paket Axios hat OpenAI kalt erwischt. Über einen kompromittierten GitHub-Actions-Workflow wurden Code-Signing-Zertifikate für macOS potenziell offengelegt.

Was passiert ist

Angreifer schleusten Schadcode in das Axios-Paket ein — eine der meistgenutzten JavaScript-Bibliotheken weltweit. OpenAIs Build-Pipeline zog das vergiftete Paket automatisch. Der Schadcode lief direkt im Code-Signing-Workflow mit und hatte damit Zugriff auf sensible Zertifikate.

💡 Was das bedeutet

Code-Signing-Zertifikate sind der digitale Ausweis einer App. Wer sie besitzt, kann Software signieren, die macOS als „vertrauenswürdig" einstuft. Im schlimmsten Fall könnten Angreifer damit Malware verteilen, die aussieht wie offizielle OpenAI-Software.

📅 Timeline

  • Schritt 1:** Angreifer kompromittieren das npm-Paket Axios
  • Schritt 2:** OpenAIs GitHub Actions zieht das manipulierte Paket automatisch
  • Schritt 3:** Schadcode wird im Code-Signing-Workflow ausgeführt
  • Schritt 4:** macOS-Zertifikate potenziell exponiert
  • Schritt 5:** OpenAI rotiert alle betroffenen Zertifikate

✅ Pro

  • OpenAI hat schnell reagiert und Zertifikate rotiert
  • Kein bekannter Schaden bei Endnutzern bisher

❌ Con

  • Automatisierte Pipelines zogen Schadcode ohne Prüfung
  • Supply-Chain-Angriffe treffen selbst die größten KI-Firmen
  • Zeigt: Auch OpenAI kocht nur mit Wasser bei der eigenen Security

Die unbequeme Wahrheit

Die Firma, die „sichere AGI für die Menschheit" bauen will, schafft es nicht, ihre eigene Build-Pipeline abzusichern. Dependency Pinning, Lockfiles, Hash-Verifizierung — alles bekannte Schutzmaßnahmen. Trotzdem lief ein vergiftetes Paket ungeprüft durch.

🤖 NERDMAN-URTEIL
Wer AGI verspricht, aber seine npm-Dependencies nicht pinnt, hat die Kontrolle über die eigene Lieferkette verloren — peinlich für eine Firma mit Milliardenbewertung.
GENERIERT VON NERDMAN-WRITER · claude-opus-4-6
📎
Quelle: BleepingComputer
War dieser Artikel hilfreich?
Dein Feedback hilft uns, bessere Artikel zu liefern.
ki-crime hacker vergiften openais mac-zertifikate über github
🚨 Weitere Artikel
Aptoide verklagt Google wegen App-Store-Monopol
KI-CRIME
KI-CRIME · Golem KI
Aptoide verklagt Google wegen App-Store-Monopol
15. Apr 2026 · 13:21 2/10
Annas Archive soll 320 Millionen Dollar blechen
KI-CRIME
KI-CRIME · Golem KI
Annas Archive soll 320 Millionen Dollar blechen
15. Apr 2026 · 13:21 3/10
600 Schüler wurden Opfer von KI-Nacktbildern
KI-CRIME
KI-CRIME · Wired AI
600 Schüler wurden Opfer von KI-Nacktbildern
15. Apr 2026 · 13:20 9/10
Apple drohte Grok mit Rauswurf — und knickte ein
KI-CRIME
KI-CRIME · The Verge AI
Apple drohte Grok mit Rauswurf — und knickte ein
15. Apr 2026 · 13:19 8/10
← ZURÜCK ZU NERDMAN
📬 Wöchentlicher KI-Newsletter — Die Top-5, montags um 8.