技術的な説明
OpenAIは2026年5月14日、5月11日にTanStack npmパッケージを標的とした Mini Shai-Hulud サプライチェーン キャンペーンの一部として、企業環境内の2つの従業員デバイスが侵害されたことを確認した。悪意のあるTanStackパッケージバージョンを通じて配布されたマルウェアは、認証情報に焦点を当てた流出活動を示し、影響を受けた2人の従業員がアクセス可能な限定的な内部ソースコードリポジトリへの不正アクセスを取得した。OpenAIは、限定的な認証情報のみが正常に流出し、他の情報またはコードは影響を受けなかったと述べた。侵害されたリポジトリには、iOS、macOS、Windows、およびAndroid上のOpenAI製品のコード署名証明書が含まれていた。OpenAIは予防措置として影響を受けた証明書をすべてローテーションしており、macOSユーザーは2026年6月12日までにアプリケーションを更新する必要がある。同社は、証明書が悪意のあるソフトウェアに署名するために悪用された証拠がなく、顧客データアクセス、本番システム侵害、または知的財産盗難の証拠がないことを確認した。
攻撃経路
ソフトウェア サプライチェーン 侵害。攻撃者はフォークにプッシュされた孤立したコミットを使用してTanStackのGitHub Actionsワークフローをハイジャックし、有効なOIDC発行トークンを取得した。これにより、160以上の悪意のあるnpmパッケージバージョンを発行することができ、正当なプロビナンスアテステーションを持っていた。悪意のあるパッケージには、開発者マシンとCIランナーで認証情報盗難ペイロードを実行するライフサイクルフックが含まれていた。影響を受けたTanStackの依存関係を使用しているOpenAI従業員のデバイスが侵害され、認証情報とアクセス可能なリポジトリからのコード署名証明書の流出が発生した。
影響を受けるシステム
侵害で公開された証明書で署名されたOpenAI macOSデスクトップアプリケーション(ChatGPT Desktop、Codex App、Codex CLI、Atlas)。WindowsおよびiOSアプリケーションは影響を受けない。TanStackサプライチェーン キャンペーンは、@tanstack/react-router(週間ダウンロード数1200万以上)、Mistral AI SDK、Guardrails AI、UiPathなど、npm エコシステム全体の160以上のパッケージに影響を与えた。
緩和策
OpenAIアプリケーションのmacOSユーザーは、古い証明書が完全に失効する2026年6月12日までに最新バージョンに更新する必要がある。以前の証明書で署名されたアプリケーションは、その日付以降、macOSセキュリティ保護によってブロックされる。OpenAIはプラットフォームプロバイダーと調整して、新しい公証を停止することで、公開された証明書の不正使用を防止し、すべてのソフトウェア署名アクティビティをレビューして、予期しないソフトウェアが署名されていないことを確認した。TanStackまたは関連パッケージを使用している組織は、Sysdig、Aikido、およびSafeDepアドバイザリを参照して、侵害されたパッケージバージョンの完全なリストを確認し、インストール時に使用中の認証情報をローテーションし、変更されたClaude Codeフックとvs Code自動実行タスクを含むマルウェア永続化メカニズムをチェックする必要がある。