OpenAI: dispositivi compromessi da attacco TanStack
OpenAI conferma due dispositivi compromessi nell'attacco TanStack npm dell'11 maggio. Credenziali esfiltrate e certificati in rotazione, nessun impatto su dati…
Contenuto
La sicurezza di OpenAI è stata recentemente messa alla prova da una vulnerabilità nella supply chain del software. L'azienda ha confermato che due dei suoi dispositivi aziendali sono stati compromessi a seguito di un attacco mirato all'ecosistema TanStack npm. Entro il 12 giugno 2026, gli utenti macOS delle applicazioni ufficiali OpenAI dovranno effettuare un aggiornamento obbligatorio per garantire la continuità del servizio, a causa della rotazione dei certificati di firma necessaria per mitigare l'incidente.
OpenAI ha agito per contenere l'esposizione, dichiarando l'assenza di violazioni ai database degli utenti: "We found no evidence that OpenAI user data was accessed, that our production systems or intellectual property were compromised, or that our software was altered". Nonostante la limitazione del danno, l'evento sottolinea come le dipendenze open-source rappresentino un vettore critico per le moderne infrastrutture tecnologiche, richiedendo una vigilanza costante sui processi di integrazione continua.
- Due dispositivi aziendali di OpenAI risultano compromessi dall'11 maggio 2026 per l'installazione di pacchetti TanStack npm malevoli.
- L'attacco ha sfruttato il trigger pull_request_target su GitHub Actions per iniettare codice in 42 pacchetti legittimi.
- L'attaccante ha esfiltrato credenziali interne e certificati di firma per applicazioni macOS, iOS e Windows.
- OpenAI afferma che non vi è prova di accesso ai dati utente, alla proprietà intellettuale o ai sistemi di produzione.
- La scadenza per l'aggiornamento delle app macOS di OpenAI è il 12 giugno 2026 per evitare il blocco dei vecchi certificati.
L'11 maggio 2026, una campagna di supply chain poisoning ha colpito TanStack npm. Sfruttando un abuso del trigger pull_request_target, l'attaccante ha pubblicato 84 versioni malevole. Due dipendenti OpenAI hanno installato tali pacchetti, permettendo l'esfiltrazione di credenziali e materiali di code-signing. OpenAI ha avviato la rotazione dei certificati e la revoca di quelli compromessi per proteggere l'integrità del software distribuito.
"84 versioni malevole pubblicate su 42 pacchetti TanStack npm: la rapidità del rilevamento da parte di ashishkurmi (StepSecurity), avvenuta in circa 20 minuti, ha limitato la propagazione dell'attacco su scala industriale."
La meccanica dell'attacco: abuso del trigger pull_request_target
L'attacco alla supply chain di TanStack non è scaturito da un furto di credenziali tradizionale, ma da una manipolazione del sistema di pubblicazione. L'11 maggio 2026, tra le 19:20 e le 19:26 UTC, un attaccante ha sfruttato un abuso del trigger pull_request_target su GitHub Actions. Questo meccanismo ha permesso l'esecuzione di codice malevolo nel contesto del repository principale, garantendo un accesso non autorizzato a segreti e cache della pipeline.
L'attore malevolo ha "avvelenato" la cache pnpm-store utilizzata dai workflow. Quando un runner ha ripristinato la cache per una procedura di pubblicazione standard, il codice malevolo è stato iniettato nel processo di build. Il malware ha estratto runtime un token OIDC (OpenID Connect) dalla memoria del runner, usandolo per autenticarsi su npm come publisher autorizzato. Questo ha consentito la pubblicazione di 84 versioni compromesse senza violare le password dei maintainer.
Il payload inserito era un file obfuscato denominato router_init.js (~2,3 MB). Una volta eseguito, il malware avviava una scansione per raccogliere credenziali AWS, GCP, Kubernetes, Vault e chiavi SSH. I dati venivano esfiltrati verso un'infrastruttura di comando e controllo (C2) basata sulla rete Session/Oxen. Secondo quanto riportato nel postmortem tecnico di TanStack, il malware tentava inoltre di auto-propagarsi su altri pacchetti gestiti localmente dalla medesima vittima.
Oltre a TanStack e OpenAI, secondo segnalazioni non corroborate da fonti primarie (Fonte 4), la campagna avrebbe potenzialmente coinvolto anche entità come Mistral AI, UiPath, OpenSearch e Guardrails AI. Sebbene il meccanismo di auto-propagazione locale descritto in Fonte 3 possa spiegare la diffusione laterale, l'estensione effettiva dell'incidente a queste organizzazioni aggiuntive rimane attualmente oggetto di cautela editoriale, in attesa di conferme ufficiali dai diretti interessati.
L'impatto su OpenAI: credenziali esfiltrate e sistemi protetti
OpenAI ha identificato la compromissione dopo che due dipendenti hanno installato i pacchetti malevoli sui propri dispositivi. L'attività rilevata è stata coerente con il comportamento noto della campagna Mini Shai-Hulud. L'azienda ha confermato accessi non autorizzati in un sottoinsieme limitato di repository di codice sorgente interno ai quali i due dipendenti avevano accesso, focalizzati prioritariamente sull'esfiltrazione di credenziali di sviluppo.
L'impatto è stato circoscritto ai repository accessibili dagli account compromessi. OpenAI ha precisato che non vi sono evidenze di violazioni della proprietà intellettuale core o alterazioni del codice dei modelli AI. Tuttavia, l'esfiltrazione ha incluso materiali di code-signing per le applicazioni Windows, macOS e iOS. Sebbene non ci siano prove di un utilizzo fraudolento di tali certificati, il rischio ha imposto una risposta immediata per salvaguardare la catena di fiducia dei client.
OpenAI ha bloccato le procedure di firma con i materiali esposti e ha avviato la revoca dei certificati compromessi. La trasparenza dell'azienda mira a coordinare l'aggiornamento dei client desktop, operazione necessaria per garantire la sicurezza del software. La rotazione dei segreti e dei certificati è una misura precauzionale standard volta a neutralizzare qualsiasi potenziale vantaggio ottenuto dall'attaccante durante la breve finestra di esposizione.
Perché è importante
Questo incidente evidenzia la fragilità strutturale delle pipeline CI/CD moderne. La sicurezza di OpenAI è stata colpita non attraverso una falla nel proprio codice, ma tramite una dipendenza upstream. Il fallimento non risiede nella logica applicativa, ma nella gestione dei trigger di automazione. L'episodio dimostra che il monitoraggio delle dipendenze e l'analisi del runtime nei repository npm sono diventati elementi essenziali per la difesa aziendale contemporanea.
La rapidità del rilevamento da parte di ricercatori esterni è stata determinante. Questo caso sottolinea la necessità di superare il modello di fiducia implicita nei flussi di pubblicazione automatica. La gestione dei token OIDC e l'isolamento degli ambienti di build devono essere rinforzati per impedire che l'estrazione di segreti dalla memoria possa compromettere l'intera catena di distribuzione. La difesa deve ora evolversi verso un controllo granulare di ogni interazione con ecosistemi terzi.
Cosa fare adesso
- Utenti macOS di OpenAI: Aggiornare l'applicazione desktop ufficiale entro il 12 giugno 2026. Dopo tale data, la revoca dei certificati compromessi impedirà il corretto funzionamento delle versioni precedenti tramite il sistema Gatekeeper di Apple.
- Sviluppatori e DevOps: Verificare le installazioni di pacchetti TanStack effettuate l'11 maggio 2026. In caso di esposizione, ruotare immediatamente ogni segreto (AWS, GCP, GitHub, chiavi SSH) presente nell'ambiente interessato per prevenire accessi successivi.
- Security Lead: Auditare le configurazioni di GitHub Actions, limitando l'uso di pull_request_target. È fondamentale assicurarsi che le cache non siano condivise tra branch non verificati e i workflow di produzione per evitare fenomeni di cache poisoning.
- Organizzazioni: Implementare policy di "quarantena" per i nuovi pacchetti npm, ritardando l'aggiornamento automatico di versioni pubblicate da meno di 24 ore. Questo tempo permette alla comunità di sicurezza di identificare e segnalare eventuali pacchetti malevoli prima dell'adozione.
L'attacco a TanStack e OpenAI conferma la crescente aggressività delle campagne dirette alla supply chain. La protezione dell'integrità del software richiede oggi una difesa attiva che vada oltre la semplice scansione di vulnerabilità note. La gestione dell'incidente da parte di OpenAI, focalizzata sulla rotazione rapida dei segreti e sulla comunicazione trasparente, rappresenta una procedura di remediation necessaria in un panorama di minacce sempre più sofisticate.
Domande frequenti
I dati delle mie conversazioni su ChatGPT sono stati compromessi?
No. OpenAI ha dichiarato esplicitamente di non aver trovato prove di accesso non autorizzato ai dati degli utenti. La compromissione ha riguardato esclusivamente due dispositivi aziendali e un numero limitato di repository di codice interno. I sistemi di produzione e i database che ospitano le informazioni degli account rimangono sicuri.
Perché devo aggiornare l'app entro il 12 giugno?
Dopo il 12 giugno 2026, i certificati di firma digitale esposti durante l'attacco verranno revocati. Questo significa che macOS non riconoscerà più le versioni precedenti dell'app come verificate. L'aggiornamento è necessario per installare la versione firmata con i nuovi certificati sicuri, garantendo l'avvio del software sul sistema operativo.
Come ha fatto il malware a pubblicare pacchetti senza 2FA?
L'attaccante ha compromesso l'identità del sistema di build automatico, non i singoli account dei maintainer. Estraendo un token OIDC temporaneo dalla memoria durante l'esecuzione su GitHub Actions, il malware ha ottenuto le autorizzazioni necessarie per pubblicare su npm, bypassando i controlli manuali come password o codici di autenticazione a due fattori.
Le informazioni contenute in questo articolo si basano sui postmortem ufficiali di TanStack e sulle comunicazioni di sicurezza di OpenAI relative all'incidente dell'11 maggio 2026.
Fonti
- https://openai.com/index/our-response-to-the-tanstack-npm-supply-chain-attack/
- https://tanstack.com/blog/npm-supply-chain-compromise-postmortem
- https://cybernews.com/security/openai-devices-tanstack-supply-chain-attack/
- https://www.mexc.com/news/1093399
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.