OpenAI risponde all'attacco alla supply chain di TanStack npm

L'11 maggio 2026, la libreria open source TanStack npm è stata compromessa nell'ambito dell'attacco alla supply chain Mini Shai-Hulud. Due dispositivi di dipendenti OpenAI sono stati colpiti, portando ad accesso non autorizzato ed esfiltrazione di credenziali da un sottoinsieme limitato di repository interni di codice sorgente. OpenAI non ha trovato prove di compromissione di dati dei clienti, dati utente o proprietà intellettuale. I repository interessati includevano certificati di firma del codice per prodotti iOS, macOS e Windows. Come precauzione, OpenAI sta ruotando i certificati e revocherà il vecchio certificato il 12 giugno 2026, richiedendo agli utenti macOS di aggiornare le loro app entro tale data. Gli utenti Windows e iOS non devono fare nulla. OpenAI ha bloccato ulteriori notarizzazioni con il certificato compromesso e ha convalidato che non è avvenuta alcuna firma software non autorizzata. L'azienda ha accelerato l'implementazione dei controlli di sicurezza dopo l'incidente di Axios, includendo l'indurimento delle credenziali CI/CD e delle configurazioni dei gestori di pacchetti. I due dispositivi colpiti non avevano questi controlli aggiornati. OpenAI sta coordinando con i fornitori di piattaforme per prevenire abusi.