OpenAI попала под удар через npm-зависимость: пользователям Mac нужно обновить приложения

11 мая 2026 года в npm появились вредоносные версии пакетов @tanstack/*. Разбор TanStack указывает на окно публикации с 19:20 до 19:26 UTC: за несколько минут злоумышленник выложил 84 вредоносные версии в 42 пакетах. Публикации выглядели легитимно, потому что шли через штатную связку GitHub Actions и OIDC trusted publishing — механизм, который позволяет публиковать пакеты без долгоживущего npm-токена.

В TanStack описали цепочку из трёх элементов: опасная настройка pull_request_target в GitHub Actions, отравление кэша GitHub Actions между форком и основным репозиторием, затем извлечение OIDC-токена из памяти раннера. Так злоумышленник получил возможность публиковать пакеты через доверенный процесс, при этом сам workflow публикации не был изменён.

Вредоносная нагрузка запускалась при установке пакета через npm install, pnpm install или yarn install. Она искала секреты в типичных местах: AWS, Google Cloud, Kubernetes, HashiCorp Vault, GitHub, npm, SSH-ключи и конфиги разработчика. Для эксфильтрации использовалась инфраструктура Session/Oxen, что усложняет классическое обнаружение по одному «командному серверу».

OpenAI сообщает, что атака затронула два устройства сотрудников в корпоративной среде. На ограниченном наборе внутренних репозиториев, к которым у этих сотрудников был доступ, зафиксирована активность, похожая на описанное поведение вредоноса: несанкционированный доступ и попытки вытащить учётные материалы. Компания утверждает, что успешно украден был только ограниченный набор credential material из этих репозиториев.

Важно: OpenAI отдельно заявила, что не обнаружила признаков доступа к пользовательским данным, компрометации продакшен-систем, утечки интеллектуальной собственности или изменения опубликованного ПО. Также компания не нашла следов использования затронутых credentials для дальнейшего доступа.

После обнаружения OpenAI изолировала затронутые системы и учётные записи, отозвала пользовательские сессии, ротировала credentials в затронутых репозиториях, временно ограничила процессы деплоя и привлекла стороннюю команду цифровой криминалистики и реагирования на инциденты.

В затронутых репозиториях были сертификаты подписи кода для продуктов OpenAI, включая приложения для iOS, macOS и Windows. Подпись кода нужна, чтобы операционная система могла проверить: приложение действительно выпущено заявленным разработчиком, а не подменено. OpenAI начала ротацию сертификатов как меру предосторожности.

Пользователям macOS нужно обновить приложения OpenAI до 12 июня 2026 года. После полного отзыва старого сертификата новые загрузки и первый запуск приложений, подписанных прежним сертификатом, могут блокироваться защитными механизмами macOS. OpenAI перечисляет последние версии, подписанные старым сертификатом: ChatGPT Desktop 1.2026.125, Codex App 26.506.31421, Codex CLI 0.130.0 и Atlas 1.2026.119.1.

Для Windows и iOS пользователям отдельные действия не требуются. Компания также пишет, что не обнаружила вредоносного ПО, подписанного её сертификатами, и не видит риска для уже установленных приложений.

TanStack — не единственный проект, который упоминался исследователями в связке с Mini Shai-Hulud. Socket отслеживал новые артефакты кампании в npm и PyPI, включая OpenSearch, Mistral AI, Guardrails AI и другие пакеты. Это уже не история про один неудачный релиз, а про попытку распространяться через инструменты, которыми пользуются разработчики, CI/CD и команды с доступом к облакам.

GitHub Security Advisory по TanStack помечает проблему как критическую. Разработчикам и командам, которые ставили затронутые версии 11 мая 2026 года, рекомендовано считать хост потенциально скомпрометированным, удалить node_modules и lock-файлы, переустановить зависимости с чистых версий, проверить CI-раннеры и срочно ротировать секреты, доступные процессу установки.

Разработчикам, которые использовали @tanstack/*, стоит проверить версии в lock-файлах и историю сборок за 11 мая 2026 года, особенно интервал 19:20–19:30 UTC. Вредоносные пакеты содержали optionalDependencies на несуществующий в npm пакет @tanstack/setup с GitHub-ссылкой на commit 79ac49eedf774dd4b0cfa308722bc463cfe5885c, а в архиве присутствовал файл router_init.js размером около 2,3 МБ.

Минимальный набор действий для затронутых окружений: ротация npm-токенов, GitHub PAT, облачных ключей, SSH-ключей, Kubernetes service account tokens и Vault-токенов; проверка неожиданных публикаций пакетов; аудит GitHub Actions; запрет id-token: write там, где OIDC не нужен; задержка установки свежих пакетов в CI, если процесс разработки это позволяет.