Η OpenAI χτυπήθηκε από την επίθεση TanStack npm, διαρροή εσωτερικών κλειδιών

Η OpenAI επιβεβαίωσε ότι δύο συσκευές υπαλλήλων της μολύνθηκαν στο πλαίσιο της ευρύτερης εκστρατείας επίθεσης στην αλυσίδα εφοδιασμού λογισμικού γνωστής ως «Mini Shai-Hulud», η οποία έπληξε το οικοσύστημα npm τη 11η Μαΐου 2026. Σύμφωνα με την OpenAI, οι επιτιθέμενοι έκλεψαν εσωτερικά διαπιστευτήρια αφού έφτασαν σε δύο συσκευές υπαλλήλων, αναγκάζοντας την εταιρεία να αντικαταστήσει τα πιστοποιητικά υπογραφής για αρκετά desktop προϊόντα.

Τι συνέβη στις 11 Μαΐου

Στις 11 Μαΐου 2026 UTC, το TanStack, μια ευρέως χρησιμοποιούμενη βιβλιοθήκη ανοιχτού κώδικα, παραβιάστηκε ως μέρος της ευρύτερης επίθεσης στην αλυσίδα εφοδιασμού λογισμικού Mini Shai-Hulud. Μεταξύ 19:20 και 19:26 UTC, το κακόβουλο λογισμικό δημοσίευσε 84 κακόβουλες εκδόσεις σε 42 πακέτα @tanstack/* του npm· εντός 48 ωρών η εκστρατεία επεκτάθηκε σε 172 πακέτα και 403 κακόβουλες εκδόσεις σε npm και PyPI, σύμφωνα με την παρακολούθηση της Mend.

Η παραβίαση του TanStack εκμεταλλεύτηκε αλυσίδα τριών τρωτών σημείων στο GitHub Actions: ο επιτιθέμενος δημιούργησε ένα fork του αποθετηρίου TanStack/router (μετονομασμένο σε zblgg/configuration για να αποφύγει αναζητήσεις στη λίστα fork), άνοιξε ένα pull request που ενεργοποίησε ένα workflow τύπου pull_request_target, το οποίο εκτέλεσε τον κώδικα του fork και δηλητηρίασε την κρυφή μνήμη του GitHub Actions με κακόβουλο pnpm store. Όταν νόμιμα pull requests συντηρητών συγχωνεύτηκαν αργότερα, η δηλητηριασμένη κρυφή μνήμη επαναφορτώθηκε.

Η επίθεση αποδίδεται από την StepSecurity στην ομάδα απειλής TeamPCP και αποτελεί την πρώτη τεκμηριωμένη περίπτωση κακόβουλου πακέτου npm που φέρει έγκυρη πιστοποίηση SLSA — ένα κρυπτογραφικό πιστοποιητικό που παράγεται από το Sigstore και υποτίθεται ότι επαληθεύει ότι ένα πακέτο δομήθηκε από αξιόπιστη πηγή. Το @tanstack/react-router μόνο δέχεται 12,7 εκατομμύρια εβδομαδιαίες λήψεις.

Πώς επηρεάστηκε η OpenAI

Η OpenAI ανέφερε ότι το περιστατικό συνέβη κατά τη διάρκεια σταδιακής εγκατάστασης νέων ελέγχων ασφαλείας στην αλυσίδα εφοδιασμού, που εισήχθησαν μετά από ένα προηγούμενο περιστατικό σχετικό με το Axios. Οι δύο συσκευές υπαλλήλων που παραβιάστηκαν δεν είχαν λάβει ακόμη τις ενημερωμένες προστασίες διαχείρισης πακέτων που θα είχαν αποκλείσει την κακόβουλη εξάρτηση.

Οι επιτιθέμενοι πραγματοποίησαν «δραστηριότητα εξαγωγής με εστίαση σε διαπιστευτήρια» εναντίον ενός περιορισμένου συνόλου εσωτερικών αποθετηρίων που ήταν προσβάσιμα από τις επηρεασμένες συσκευές υπαλλήλων, σύμφωνα με την OpenAI. Η εταιρεία δήλωσε ότι δεν βρέθηκαν στοιχεία ότι δεδομένα χρηστών, συστήματα παραγωγής ή πνευματική ιδιοκτησία παραβιάστηκαν, ούτε ότι το λογισμικό της άλλαξε.

Τα κλειδιά υπογραφής για Windows, macOS, iOS και Android επηρεάστηκαν. Όλες οι εφαρμογές επανα-υπογράφονται και κυκλοφορούν με νέα πιστοποιητικά. Μετά την οριστική ανάκληση του παλαιού πιστοποιητικού στις 12 Ιουνίου 2026, νέες λήψεις και εκκινήσεις εφαρμογών υπογεγραμμένων με το προηγούμενο πιστοποιητικό θα αποκλείονται από τις προστασίες ασφαλείας του macOS.

Η ευρύτερη εκστρατεία TeamPCP

Οι ερευνητές ασφαλείας αποδίδουν την εκστρατεία στην ομάδα TeamPCP, μια κυβερνοεγκληματική ομάδα με εστίαση στο cloud που εμφανίστηκε στα τέλη του 2025 και ειδικεύεται στην αυτοματοποίηση επιθέσεων στην αλυσίδα εφοδιασμού και στην εκμετάλλευση υποδομών cloud-native, συμπεριλαμβανομένων περιβαλλόντων Docker και Kubernetes. Η ομάδα TeamPCP έχει συνδεθεί επίσης με την παραβίαση του σαρωτή Trivy της Aqua Security (Μάρτιος 2026) και του πακέτου npm Bitwarden CLI (Απρίλιος 2026).

Αυτό που καθιστά το Mini Shai-Hulud έναν πραγματικό «σκώληκα» (worm) είναι η ικανότητά του να εξαπλώνεται αυτόνομα: μόλις κλέψει διαπιστευτήρια, τα χρησιμοποιεί για να μολύνει επιπλέον πακέτα. Η εξαγωγή κλεμμένων διαπιστευτηρίων γίνεται μέσω τριπλής αρχιτεκτονικής C2: ένα typosquat domain (git-tanstack[.]com), το αποκεντρωμένο δίκτυο μηνυμάτων Session (μέσω κόμβων getsession.org) και GitHub API dead drops όπου τα κλεμμένα tokens δημιουργούν αποθετήρια με θέματα Dune. Το κανάλι Session είναι νέο σε αυτό το κύμα και σημαντικά δυσκολότερο να διακοπεί από υποδομές βασισμένες σε domain.

Σύμφωνα με στοιχεία της OX Security, το περιστατικό επηρέασε πάνω από 170 πακέτα σε npm και PyPI, με συνολικές λήψεις που ξεπερνούν τα 518 εκατομμύρια. Σε ανησυχητική εξέλιξη, η TeamPCP δημοσίευσε επίσης τον πηγαίο κώδικα του Shai-Hulud στο GitHub πριν αφαιρεθεί το αποθετήριο· αντίγραφα έχουν ήδη αντιγραφεί online, δίνοντας στους κυβερνοεγκληματίες έτοιμη βάση για νέες παραλλαγές.

Τι πρέπει να κάνουν οι χρήστες και οι developers

Ως μέρος της απόκρισής της, η OpenAI προχωρά σε ενημέρωση των πιστοποιητικών ασφαλείας της, η οποία απαιτεί από όλους τους χρήστες macOS να ενημερώσουν τις εφαρμογές OpenAI στις πιο πρόσφατες εκδόσεις. Η ενημέρωση είναι διαθέσιμη μέσω in-app update ή από τους επίσημους συνδέσμους της OpenAI.

Για developers που έχουν χρησιμοποιήσει πακέτα @tanstack/*, θα πρέπει να ελέγξουν άμεσα για τον daemon gh-token-monitor (στο ~/Library/LaunchAgents/com.user.gh-token-monitor.plist σε macOS ή ~/.config/systemd/user/gh-token-monitor.service σε Linux) και να τον αφαιρέσουν πριν ανακαλέσουν οποιαδήποτε tokens. Στη συνέχεια να ελέγξουν αρχεία lockfile και logs CI για τις επηρεασμένες εκδόσεις, και να αλλάξουν όλα τα διαπιστευτήρια από οποιαδήποτε επηρεασμένη μηχανή ή runner — npm tokens, GitHub PATs, AWS/GCP/Azure credentials, Kubernetes service account tokens και CI/CD secrets.

Η OpenAI δήλωσε ότι συνεχίζει να διερευνά το περιστατικό και να παρακολουθεί για τυχόν κατάχρηση των κλεμμένων διαπιστευτηρίων. Μετά το περιστατικό με το Axios, η εταιρεία επιτάχυνε την ανάπτυξη συγκεκριμένων ελέγχων ασφαλείας, συμπεριλαμβανομένης περαιτέρω ενίσχυσης των ευαίσθητων διαπιστευτηρίων στο CI/CD pipeline, εγκατάσταση ρυθμίσεων διαχειριστή πακέτων με ελέγχους όπως minimumReleaseAge, και πρόσθετο λογισμικό ασφαλείας για επαλήθευση της προέλευσης νέων πακέτων.

Πηγές

• The Register — OpenAI caught in TanStack npm supply chain chaos
• OpenAI — Our response to the TanStack npm supply chain attack
• Snyk — TanStack npm Packages Hit by Mini Shai-Hulud
• Wiz — Mini Shai-Hulud Strikes Again: TanStack + more npm Packages Compromised
• StepSecurity — TeamPCP's Mini Shai-Hulud Is Back
• CyberScoop — 'Mini Shai-Hulud' malware compromises hundreds of open-source packages