技术说明
OpenAI在2026年5月14日确认,其企业环境中的两台员工设备在5月11日针对TanStack npm包的Mini Shai-Hulud供应链攻击中被入侵。通过恶意TanStack包版本分发的恶意软件表现出以凭据为重点的数据窃取活动,并获得了对两名受影响员工可访问的有限内部源代码仓库子集的未授权访问。OpenAI声明只有有限的凭据材料被成功窃取,没有其他信息或代码受到影响。被入侵的仓库包含OpenAI产品在iOS、macOS、Windows和Android上的代码签名证书。OpenAI正在预防性地轮换所有受影响的证书,要求macOS用户在2026年6月12日前更新应用程序。该公司没有发现证书被滥用来签名恶意软件的证据,也没有发现客户数据访问、生产系统入侵或知识产权盗窃的证据。
攻击途径
软件供应链入侵。攻击者使用推送到分支的孤立提交劫持了TanStack的GitHub Actions工作流,获得了有效的OIDC发布令牌,使他们能够发布160+个携带合法来源证明的恶意npm包版本。恶意包含有生命周期钩子,在开发者机器和CI运行器上执行凭据窃取载荷。使用受影响TanStack依赖项的OpenAI员工的设备被入侵,导致可访问仓库中的凭据和代码签名证书被窃取。
受影响系统
使用在此次攻击中暴露的证书签名的OpenAI macOS桌面应用程序(ChatGPT Desktop、Codex App、Codex CLI、Atlas)。Windows和iOS应用程序不受影响。TanStack供应链攻击还影响了npm生态系统中的160+个包,包括@tanstack/react-router(每周1200万+下载量)、Mistral AI SDK、Guardrails AI、UiPath等。
缓解措施
OpenAI应用程序的macOS用户必须在2026年6月12日前更新到最新版本,届时旧证书将被完全吊销。使用先前证书签名的应用程序在该日期后将被macOS安全保护机制阻止。OpenAI已与平台提供商协调,通过停止新的公证来防止暴露证书的未授权使用,并审查了所有软件签名活动以确认没有意外软件被签名。使用TanStack或相关包的组织应查阅Sysdig、Aikido和SafeDep的建议,获取受损包版本的完整列表,轮换安装时使用的凭据,并检查恶意软件持久化机制,包括修改的Claude Code钩子和VS Code自动运行任务。