OpenAI ha ammesso che i dispositivi di due dipendenti sono stati compromessi tramite versioni dannose dei pacchetti npm di TanStack.
L'azienda insiste sul fatto che non è stata trovata alcuna prova di manomissione dei dati degli utenti, dei sistemi di produzione o della proprietà intellettuale.
OpenAI è stato hackerato?
OpenAI ha confermato che alcuni malintenzionati hanno violato i dispositivi di due suoi dipendenti nell'ambito di una massiccia campagna di attacco alla catena di fornitura del software, denominata "Mini Shai-Hulud".
In precedenza, OpenAI aveva implementato dei controlli per limitare l'esposizione agli attacchi alla catena di fornitura a seguito di un incidente con Axios, ma i due dispositivi dei dipendenti interessati non avevano ancora ricevuto le configurazioni aggiornate che avrebbero bloccato il download del pacchetto dannoso.
L'attacco ha preso di mira TanStack , una libreria open-source utilizzata da milioni di sviluppatori. Gli aggressori hanno pubblicato 84 versioni dannose su 42 pacchetti npm, tra cui il popolare @tanstack/react-router, che viene scaricato oltre 12 milioni di volte a settimana.
Un ricercatore esterno che lavora per StepSecurity ha rilevato i pacchetti dannosi entro circa 20 minuti dalla pubblicazione e ha avvisato direttamente il team di sicurezza di npm.
Questo attacco ha sfruttato la fiducia che gli utenti ripongono nei sistemi di compilazione automatizzati. Il codice dannoso è stato pubblicato utilizzando le chiavi di pubblicazione legittime di TanStack, facendolo apparire come un aggiornamento ufficiale.
Mini Shai-Hulud è un malware autoreplicante che ruba credenziali come token GitHub, chiavi cloud e chiavi SSH una volta installato da uno sviluppatore o da un sistema CI/CD. Il malware tenta quindi di ripubblicare i pacchetti su altri repository gestiti dalla vittima.
Secondo i ricercatori di sicurezza, la campagna ha compromesso pacchetti negli ecosistemi npm e PyPI. Oltre a OpenAI e TanStack, l'attacco ha interessato codice appartenente a Mistral AI, UiPath (NYSE: PATH), OpenSearch e Guardrails AI.
I ricercatori osservano che il payload installa un demone persistente che funge da "interruttore di sicurezza". Se una vittima revoca un token GitHub rubato, il malware può attivare un comando per cancellare la directory home dell'utente.
I dati degli utenti di OpenAI sono stati compromessi?
In seguito all'attacco, OpenAI si è avvalsa della collaborazione di una società di analisi forense esterna per le indagini. L'azienda ha dichiarato di non aver trovato alcuna prova di accesso non autorizzato ai dati degli utenti o di compromissione dei sistemi di produzione, della proprietà intellettuale o del software.
Tuttavia, gli aggressori sono comunque riusciti a estrarre alcune credenziali dai repository di codice interni a cui quei dispositivi avevano accesso. Tra queste, i certificati di firma del codice per le app macOS.
Ora gli utenti Mac devono aggiornare le app ChatGPT Desktop, Codex e Atlas entro il 12 giugno 2026, altrimenti il software verrà bloccato dalle protezioni di sicurezza di macOS.
OpenAI ha dichiarato di non aver trovato alcuna prova di software dannoso firmato con i suoi certificati né di modifiche non autorizzate alle applicazioni pubblicate.
L'azienda ha fatto notare che le nuove autenticazioni con i vecchi certificati sono già state bloccate, il che significa che qualsiasi app fraudolenta che tentasse di utilizzarli non disporrebbe dell'autenticazione di Apple e verrebbe bloccata automaticamente dalle protezioni di sicurezza di macOS.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter .