OpenAI объяснила атаку на TanStack npm и попросила обновить macOS-приложения до 12 июня

OpenAI рассказала, как отреагировала на атаку Mini Shai-Hulud через экосистему TanStack npm. Компания заявляет, что не нашла признаков компрометации пользовательских данных, продакшн-систем или кода своих продуктов, но все равно запускает обязательное обновление приложений для macOS до 12 июня 2026 года.

Что произошло 11 мая 2026 года по UTC злоумышленники скомпрометировали

один из популярных open-source пакетов в экосистеме TanStack. OpenAI пишет, что атака была частью более широкой кампании Mini Shai-Hulud, нацеленной не на одну компанию, а на общие звенья цепочки поставок ПО: зависимости, пакетные менеджеры и инструменты разработки. Внутри OpenAI затронутыми оказались два устройства сотрудников в корпоративной среде.

После обнаружения вредоносной активности компания начала расследование и подключила внешнюю команду цифровой криминалистики и реагирования на инциденты. По данным OpenAI, поведение вредоносного пакета совпадало с уже описанным сценарием: несанкционированный доступ и попытки вывести учетные данные из ограниченного набора внутренних репозиториев, к которым имели доступ эти два сотрудника. Компания утверждает, что реально были эксфильтрованы только отдельные секреты и учетные данные, а другой код и информация не пострадали.

Следов воздействия на пользовательские данные, продакшн-системы и интеллектуальную собственность OpenAI в ходе расследования не нашли.

Как ответила

OpenAI Первой задачей было локализовать инцидент и перекрыть возможные пути дальнейшего доступа. OpenAI изолировала затронутые устройства и связанные с ними учетные записи, отозвала пользовательские сессии, ротировала все учетные данные в затронутых репозиториях и временно ограничила workflow деплоя кода. Параллельно компания отдельно проверила поведение учетных записей и самих секретов, чтобы понять, использовал ли кто-то уже украденные материалы. На момент публикации OpenAI заявляет, что не увидела признаков последующего доступа злоумышленника или злоупотребления этими данными.

«Мы не нашли доказательств того, что данные пользователей OpenAI были скомпрометированы».

Важная деталь: в затронутых репозиториях находились и сертификаты подписи для продуктов OpenAI. Поэтому реакция не ограничилась чисткой зараженных машин. Компания начала ротацию code-signing сертификатов и отдельно договорилась с платформенными партнерами о блокировке новых notarization-процедур со старыми материалами подписи.

Кроме того, OpenAI перепроверила уже выпущенное ПО и не нашла признаков, что кто-то подписал вредоносное приложение от ее имени или подменил опубликованные сборки. Отдельно OpenAI объяснила, что после инцидента с Axios ускорила внедрение дополнительных мер против supply chain-атак, но этот случай пришелся на фазу rollout. Два затронутых устройства еще не получили обновленные конфигурации пакетного менеджера и новые проверки происхождения пакетов.

Среди мер, которые компания теперь подчеркивает, — minimumReleaseAge для зависимостей, усиленная защита чувствительных credentials в CI/CD и дополнительная валидация provenance у новых пакетов.

Что делать пользователям

Mac Для обычных пользователей главный вывод практический: если ты используешь приложения OpenAI на macOS, их нужно обновить до 12 июня 2026 года. После полного отзыва старого сертификата macOS начнет блокировать новые загрузки и первый запуск приложений, подписанных прежними ключами. OpenAI специально оставляет окно до этой даты, потому что немедленный revoke мог бы сломать легитимные обновления и первый запуск нормальных приложений у части пользователей.

• Обновить нужно ChatGPT Desktop Обновить нужно Codex App Обновить нужно Codex CLI * Обновить нужно Atlas Для Windows и iOS отдельных действий со стороны пользователей не требуется, хотя компания перевыпускает приложения с новыми сертификатами на всех затронутых платформах. Пароли пользователей и API-ключи, по словам OpenAI, не были затронуты, поэтому менять их не нужно. Самый безопасный путь — ставить обновления только через встроенный механизм приложения или официальные страницы загрузки. OpenAI отдельно предупреждает не устанавливать «OpenAI», «ChatGPT» или «Codex» из писем, рекламы, мессенджеров и сторонних каталогов.

Что это значит

Этот инцидент хорошо показывает, как атаки на зависимости быстро выходят за пределы среды разработчиков и доходят до обычных пользователей через сертификаты, десктопные клиенты и механики обновлений. Для компаний урок простой: мало проверять свой код, нужно еще жестко контролировать происхождение пакетов, защищать CI/CD и уметь быстро перевыпускать подписи без остановки продукта.