OpenAI pogođen TanStack supply-chain napadom
OpenAI je potvrdio da su dva uređaja zaposlenih kompromitovana u okviru šireg TanStack supply-chain napada, poznatog kao Mini Shai-Hulud. Napadači su iz ograničenog broja internih source code repozitorijuma izvukli deo credential materijala, ali kompanija navodi da nema dokaza o pristupu korisničkim podacima, kompromitaciji proizvodnih sistema, intelektualne svojine ili izmenama softvera. Pošto su pogođeni repozitorijumi sadržali i code-signing sertifikate za OpenAI proizvode, kompanija rotira sertifikate i ponovo potpisuje aplikacije. Korisnici macOS aplikacija moraju da ih ažuriraju do 12. juna 2026, jer starije verzije posle toga mogu prestati da rade ispravno.
Supply-chain napadi na razvojne alate posebno su nezgodni jer ne pogađaju samo krajnji proizvod, već ljude, repozitorijume, potpise aplikacija i ceo lanac poverenja kojim se softver isporučuje korisnicima. Čak i kada nema dokaza da su korisnički podaci kompromitovani, krađa credential materijala i sertifikata otvara prostor za oprez, brzu rotaciju ključeva i proveru načina na koji se interni alati koriste u razvoju.
- Korisnici OpenAI macOS aplikacija treba da instaliraju najnovije verzije pre 12. juna 2026
- OpenAI aplikacije preuzimati samo kroz ugrađeno ažuriranje ili zvanične OpenAI stranice
- Ne instalirati ChatGPT, Codex ili druge OpenAI instalere iz mejlova, oglasa, poruka i nezvaničnih linkova
- Razvojni timovi treba da provere zavisnosti, lock fajlove i CI/CD tokove za tragove kompromitovanih TanStack paketa
- U firmama proveriti politiku čuvanja credential materijala na developerskim uređajima i u source code repozitorijumima