NERDMAN🚨 KI-CRIME
OpenAI gehackt: Zwei Laptops, dicker Ärger
Angreifer haben sich über die TanStack-npm-Lieferkette in OpenAI-Systeme geschlichen. Zwei Mitarbeitergeräte kompromittiert, interne Credentials weg.
Angreifer haben sich über die TanStack-npm-Lieferkette in OpenAI-Systeme geschlichen. Zwei Mitarbeitergeräte kompromittiert, interne Credentials weg.
Was konkret passiert ist
OpenAI musste diese Woche zugeben: Die Firma ist Teil der "Mini Shai-Hulud"-Kampagne, die gerade das npm-Ökosystem zerlegt. Über manipulierte TanStack-Pakete kamen die Angreifer an interne Zugangsdaten. Signing-Zertifikate für mehrere Desktop-Produkte mussten rotiert werden.
- Einfallstor:** TanStack-Pakete im npm-Registry
- Beute:** Interne Credentials, Signing-Material
- Reaktion:** Zertifikate für Desktop-Apps neu ausgestellt
- Betroffene Geräte:** Zwei Mitarbeiter-Laptops
Zahlenbox
- 2** — kompromittierte Mitarbeitergeräte
- 0** — laut OpenAI betroffene Kundendaten
- Mehrere** — Desktop-Produkte mit neuen Signing-Zertifikaten
💡 Was das bedeutet
Wer Code von OpenAI auf dem Rechner laufen lässt, muss jetzt prüfen, ob seine Desktop-Apps noch mit den alten Zertifikaten signiert sind. Supply-Chain-Angriffe via npm sind kein Theorie-Problem mehr — sie treffen die größten Namen der Branche. Wenn OpenAI über ein Frontend-Lib reingelegt wird, kann es jeden treffen.
📅 Timeline
- Anfang Mai 2026:** "Mini Shai-Hulud"-Kampagne rollt durchs npm-Ökosystem
- Mai 2026:** TanStack-Pakete als Vehikel entlarvt
- 15. Mai 2026:** OpenAI bestätigt eigene Betroffenheit
- Diese Woche:** Signing-Zertifikate rotiert, Schaden eingegrenzt
🤖 NERDMAN-URTEIL
Die Firma, die uns AGI verkaufen will, fällt auf einen klassischen npm-Trojaner rein — willkommen in der echten Welt, OpenAI.
Quelle: The Register AI
War dieser Artikel hilfreich?
Dein Feedback hilft uns, bessere Artikel zu liefern.
