OpenAI niega la exposición de datos de usuarios por parte de TanStack npm y el ataque a la cadena de suministro de Mini Shai-Hulud

OpenAI ha admitido que dos dispositivos de empleados se vieron comprometidos mediante versiones maliciosas de los paquetes npm de TanStack.

La empresa insiste en que no se ha encontrado ninguna prueba de que se hayan manipulado los datos de los usuarios, los sistemas de producción o la propiedad intelectual.

¿OpenAI fue hackeada?

OpenAI ha confirmado que agentes maliciosos lograron infiltrarse en dos de los dispositivos de sus empleados como parte de una campaña masiva en la cadena de suministro de software denominada "Mini Shai-Hulud".

OpenAI ya había implementado controles para limitar la exposición a ataques en la cadena de suministro tras undent con Axios, pero los dos dispositivos de los empleados afectados aún no habían recibido las configuraciones actualizadas que habrían bloqueado la descarga del paquete malicioso.

El ataque tuvo como objetivo TanStack, una biblioteca de código abierto utilizada por millones de desarrolladores. Los atacantes publicaron 84 versiones maliciosas en 42 paquetes npm, incluido el popular @tanstack/react-router, que se descarga más de 12 millones de veces por semana.

Un investigador externo que trabaja para StepSecurity detectó los paquetes maliciosos aproximadamente 20 minutos después de su publicación y notificó directamente al equipo de seguridad de npm.

Este ataque explotó la confianza que los usuarios depositan en los sistemas de compilación automatizados. El código malicioso se publicó utilizando las claves de publicación legítimas de TanStack, lo que lo hizo parecer una actualización oficial.

Mini Shai-Hulud es un malware autorreplicante que robadentcomo tokens de GitHub, claves en la nube y claves SSH una vez que un desarrollador o un sistema CI/CD lo instala. Posteriormente, el malware intenta republicarse en otros paquetes que la víctima mantiene.

Investigadores de seguridad informan que la campaña ha comprometido paquetes en los ecosistemas npm y PyPI. Además de OpenAI y TanStack, el ataque ha afectado código perteneciente a Mistral AI, UiPath (NYSE: PATH), OpenSearch y Guardrails AI.

Los investigadores señalan que el malware instala un demonio persistente que actúa como un "interruptor de seguridad". Si la víctima revoca un token de GitHub robado, el malware puede activar un comando para borrar el directorio personal del usuario.

¿Se vieron comprometidos los datos de los usuarios de OpenAI? 

Tras el ataque, OpenAI contrató a una empresa forense externa para que colaborara en la investigación. La compañía afirmó no haber encontrado pruebas de que se hubiera accedido a los datos de sus usuarios ni de que sus sistemas de producción, propiedad intelectual o software se hubieran visto comprometidos.

Sin embargo, los atacantes lograrontracalgunasdentde los repositorios de código internos a los que tenían acceso esos dispositivos. Esto incluía certificados de firma de código para aplicaciones de macOS.

Ahora, los usuarios de Mac deben actualizar sus aplicaciones ChatGPT Desktop, Codex y Atlas a la última versión antes del 12 de junio de 2026, o el software será bloqueado por las protecciones de seguridad de macOS.

OpenAI ha declarado que no ha encontrado pruebas de software malicioso firmado con sus certificados ni modificaciones no autorizadas en las aplicaciones publicadas.

La compañía señaló que la nueva certificación con los certificados antiguos ya ha sido bloqueada, lo que significa que cualquier aplicación fraudulenta que intente utilizarlos carecería de la certificación de Apple y sería detenida por las protecciones de seguridad de macOS de forma predeterminada.