OpenAI підтвердила, що стала однією з жертв масштабної supply chain-атаки на npm-пакети TanStack. У компанії заявили про компрометацію внутрішніх репозиторіїв і закликали користувачів macOS оновити фірмові застосунки через ротацію сертифікатів підпису.
OpenAI підтвердила, що під час масштабної атаки на supply chain TanStack були скомпрометовані пристрої двох співробітників компанії. Інцидент змусив OpenAI терміново ротувати сертифікати підпису коду для своїх застосунків на macOS, Windows, iOS та Android.
У компанії заявили, що атака не вплинула на дані користувачів, production-системи, інтелектуальну власність або вже розгорнуте програмне забезпечення.
За словами OpenAI, інцидент пов’язаний із кампанією Mini Shai-Hulud, яку пов’язують із групою TeamPCP. Хакери поширювали шкідливі оновлення через популярні npm- та PyPI-пакети, намагаючись отримати доступ до систем розробників і CI/CD-інфраструктури.
«Ми спостерігали активність, що відповідає публічно описаній поведінці шкідливого програмного забезпечення, включаючи несанкціонований доступ та вилучення облікових даних, в обмеженій підмножині внутрішніх репозиторіїв вихідного коду», – повідомили в OpenAI.
Компанія уточнила, що з репозиторіїв було викрадено лише обмежену кількість credentials. Ознак того, що ці дані використовувалися для подальших атак, наразі не виявлено.
Після компрометації OpenAI ізолювала заражені системи та акаунти, відкликала активні сесії, змінила credentials у репозиторіях і тимчасово обмежила процеси деплою. До розслідування також залучили сторонню команду реагування на інциденти.
Окремо компанія повідомила про компрометацію code-signing certificates, які використовуються для підпису застосунків OpenAI на різних платформах. Хоча слідів використання сертифікатів для підпису malware не знайшли, компанія вирішила замінити їх у межах запобіжних заходів.
Через це користувачі macOS повинні оновити настільні застосунки OpenAI до 12 червня 2026 року. Після цієї дати програми, підписані старими сертифікатами, можуть перестати запускатися або втратити можливість отримувати оновлення через механізм нотаризації Apple. Для користувачів Windows та iOS жодних дій не потрібно.
Атака Mini Shai-Hulud стала однією з наймасштабніших supply chain-кампаній останнього часу. Спочатку хакери атакували TanStack і Mistral AI, а пізніше компрометація поширилася на UiPath, Guardrails AI, OpenSearch та інші проєкти.
Дослідники Socket та Aikido виявили сотні заражених npm- та PyPI-пакетів, які поширювалися через офіційні репозиторії.
За даними TanStack, зловмисники скористалися слабкими місцями в GitHub Actions і CI/CD-конфігураціях для запуску шкідливого коду, викрадення токенів із пам’яті та публікації заражених пакетів через легітимний pipeline релізів. У результаті троянізовані пакети виглядали як звичайні офіційні оновлення. Шкідливе ПЗ Mini Shai-Hulud було орієнтоване на викрадення GitHub-токенів, npm credentials, AWS-даних, Kubernetes secrets, SSH-ключів та .env-файлів.
Фахівці також виявили механізми стійкості, які дозволяли malware залишатися в системах навіть після видалення пакета. Для цього шкідливий код модифікував Claude Code hooks та автозапуск VS Code. Microsoft Threat Intelligence окремо повідомила про Linux-версію інформаційного стілера, орієнтованого на системи з російськомовним ПЗ. У malware також знайшли деструктивний модуль, який випадково запускав рекурсивне видалення файлів на деяких ізраїльських та іранських системах.
У OpenAI заявили, що ця кампанія демонструє нову тенденцію, коли хакери атакують не окремі компанії, а весь ланцюг постачання програмного забезпечення.
«Сучасне програмне забезпечення побудовано на глибоко взаємопов’язаній екосистемі бібліотек з відкритим кодом, менеджерів пакетів та інфраструктури безперервної інтеграції й безперервного розгортання, а це означає, що вразливість може швидко поширюватися між організаціями», – підсумували в компанії.
