14 мая 2026 года OpenAI сообщила, что два устройства её сотрудников попали под удар атаки на цепочку поставок Mini Shai-Hulud через скомпрометированную библиотеку TanStack
Атакующие извлекли ограниченные учётные данные из внутренних репозиториев, где хранились сертификаты подписи кода для macOS, iOS, Windows и Android
Все пользователи приложения ChatGPT для Mac обязаны обновить программу до 12 июня 2026 года — после этой даты macOS заблокирует запуск старых версий
Пользователи Windows, iOS и Android могут ничего не делать — но OpenAI всё равно ротирует сертификаты на всех платформах из предосторожности
OpenAI второй раз за два месяца оказалась жертвой атаки на цепочку поставок программного обеспечения. 14 мая 2026 года компания сообщила, что её внутренняя среда разработки попала под удар Mini Shai-Hulud — продолжающейся кампании, которая 11 мая 2026 года около 22:20 МСК скомпрометировала популярную библиотеку TanStack. Среди прямых последствий — принудительное обновление приложения ChatGPT для Mac и других настольных продуктов OpenAI до 12 июня 2026 года, иначе macOS просто перестанет их запускать.
Источник изображения — OpenAI
Что произошло: два устройства сотрудников и сертификаты подписи
По заявлению OpenAI, два корпоративных устройства сотрудников установили скомпрометированную версию пакета из экосистемы TanStack. На этих машинах не было ещё развёрнуто обновлённых мер безопасности, которые компания внедряла после предыдущего инцидента с библиотекой Axios в конце марта 2026 года.
Что именно сделали атакующие:
- Получили доступ к ограниченному числу внутренних репозиториев исходного кода, к которым у двух сотрудников были права.
- Извлекли «ограниченный объём учётных данных» — конкретно какие, OpenAI не раскрывает.
- В этих репозиториях, по словам компании, находились сертификаты подписи кода для приложений OpenAI на платформах macOS, iOS, Windows и Android.
OpenAI подчёркивает: следов доступа к данным пользователей, производственным системам или интеллектуальной собственности не обнаружено, ни одно работающее приложение не было модифицировано, доказательств злоупотребления украденными сертификатами тоже пока нет. Тем не менее компания применяет максимально консервативную тактику — отозвала пользовательские сессии, ротирует все учётные данные привязанных репозиториев, временно ограничила деплой-процессы и привлекла стороннюю фирму по цифровой криминалистике и реагированию на инциденты.
Что под угрозой и что нет
| Объект | Статус |
|---|---|
| Данные пользователей ChatGPT | Не затронуты |
| Производственные системы и модели | Не затронуты |
| Интеллектуальная собственность OpenAI | Не затронута |
| Файлы установленных приложений | Не модифицированы |
| Ограниченные учётные данные из внутренних репозиториев | Похищены |
| Сертификаты подписи кода (macOS, iOS, Windows, Android) | Считаются потенциально скомпрометированными — ротируются |
Что такое Mini Shai-Hulud и почему это серьёзно
OpenAI — не единственная и далеко не главная жертва этой кампании. Mini Shai-Hulud — это «червь» в экосистемах npm и PyPI, организованный группой TeamPCP, и текущая майская волна стала четвёртой по счёту. Только за один эпизод 11 мая были скомпрометированы:
- 42 пакета TanStack и 84 их версии — за шесть минут с 22:20 по 22:26 МСК. Среди них @tanstack/react-router с более чем 12,7 миллионов скачиваний в неделю.
- 169 пакетов npm и 2 пакета PyPI, всего 373 вредоносные версии. Среди затронутых проектов — Mistral AI, UiPath, OpenSearch, Guardrails AI, Intercom, PyTorch Lightning.
- Кумулятивно — более 518 миллионов загрузок поражённых пакетов до их обнаружения.
Технически атака опирается на цепочку из трёх уязвимостей GitHub Actions:
- Шаблон Pwn Request через триггер
pull_request_target— атакующий из своего форка может выполнить произвольный код в контексте основного репозитория. - Отравление кэша GitHub Actions — вредоносный pnpm-store подкладывается в кэш, и при следующем легитимном слиянии в main конвейер релиза подтягивает уже отравленные зависимости.
- Извлечение OIDC-токенов из памяти процесса runner'а (через
/proc/<pid>/mem). С этими токенами атакующий публикует вредоносные версии пакетов через легитимный конвейер релиза проекта — со всеми правильными подписями и атрибуцией.
Главная особенность волны: впервые в истории вредоносные npm-пакеты несут валидное SLSA Build Level 3 provenance-удостоверение — это криптографический сертификат, который должен гарантировать, что пакет собран в доверенном конвейере. И технически он действительно собран в доверенном конвейере — просто пайплайн в момент сборки был под чужим управлением. Это ломает основополагающее допущение всей современной экосистемы безопасности зависимостей.
Любопытная деталь, типичная для последних версий вредоноса: если система настроена на русский язык, червь сам прекращает работу и ничего не похищает. Это давний маркер части хакерских группировок, оперирующих из СНГ.
Дедлайн 12 июня: что произойдёт с приложениями
OpenAI ротирует сертификаты подписи для всех своих настольных macOS-продуктов. Затронутые версии, после которых пользователю надо обновляться:
- ChatGPT Desktop — последняя «безопасная» версия 1.2026.125.
- Codex App — 26.506.31421.
- Codex CLI — 0.130.0.
- Atlas (браузер OpenAI) — 1.2026.119.1.
После 12 июня 2026 года старые сертификаты будут полностью отозваны. Это означает, что macOS через систему Gatekeeper (механизм проверки нотаризованного и подписанного программного обеспечения) перестанет запускать приложения, подписанные старым сертификатом. Внешне это будет выглядеть как сообщение «разработчик не может быть верифицирован» или похожее — обходить эту защиту OpenAI не рекомендует, как и сам Apple.
Пользователям Windows, iOS и Android никаких действий предпринимать не нужно — обновление произойдёт через стандартные механизмы магазинов приложений и автоматические апдейтеры платформ. Но сертификаты компания всё равно ротирует на всех платформах из предосторожности.
Второй инцидент за два месяца: что было до этого
Случай TanStack — это уже вторая атака на цепочку поставок против OpenAI за короткое время. 31 марта 2026 года был скомпрометирован пакет Axios — одна из самых популярных HTTP-библиотек в JavaScript. Тогда вредоносная версия 1.14.1 попала в рабочий процесс GitHub Actions, который OpenAI использовала для подписи macOS-приложений. По итогам того инцидента компания ротировала сертификаты с дедлайном 8 мая 2026 года и начала разворачивать новые меры защиты:
- Усиленные проверки происхождения пакетов (provenance).
- Жёсткий контроль учётных данных в CI/CD-конвейере.
- Настройка пакетных менеджеров с параметрами вроде
minimumReleaseAge— это блокирует автоматическое обновление до свежих, ещё не «отстоявшихся» версий пакетов, через которые обычно и пробивается малварь.
Ирония в том, что эти меры на момент TanStack-атаки 11 мая ещё не были развёрнуты полностью — и именно два «недозащищённых» устройства сотрудников стали входной точкой. Если бы развёртывание успели закончить, инцидента, скорее всего, не было бы.
Что должны сделать пользователи
- Пользователи macOS — обновить ChatGPT, Codex, Codex CLI и/или Atlas до 12 июня 2026 года. Лучше — прямо сейчас. Обновление можно скачать через сам интерфейс приложения или с официального сайта OpenAI.
- Пользователи Windows, iOS, Android — ничего специально делать не нужно, стандартный механизм обновлений сам подтянет новые подписанные версии.
- Не ставить никакие установщики «ChatGPT», «Codex» или «Atlas» из писем, рекламных объявлений, файлообменников или сторонних сайтов. Учитывая, что у злоумышленников теоретически могут быть рабочие старые сертификаты, фейковые установщики — реальный риск.
- Для разработчиков, использующих TanStack, Mistral AI, UiPath, Intercom, Guardrails AI, OpenSearch или PyTorch Lightning — стоит провести аудит зависимостей и логов CI/CD по индикаторам компрометации (домен
git-tanstack[.]com, сеть*.getsession.org, IP-адрес 83.142.209.194). Подробные руководства публиковали Snyk, Wiz, Socket, StepSecurity.
Не первая проблема приложения ChatGPT для Mac
Это уже не первый инцидент безопасности, связанный именно с настольным приложением ChatGPT для macOS. В 2024 году независимый разработчик обнаружил, что приложение хранит истории разговоров пользователей локально в виде обычного текста, без шифрования — любая программа, имеющая доступ к домашней папке, могла читать их без ограничений. OpenAI тогда быстро выпустила исправление, и теперь данные хранятся в зашифрованном виде.
Текущий случай показывает другую сторону той же общей проблемы: безопасность современного программного обеспечения — это не только и не столько код самого приложения, сколько вся цепочка инструментов, через которую оно собирается, подписывается и доставляется. Когда атакующие могут подделать пакет в open source-реестре, который автоматически утянет в свою сборку конвейер CI/CD у тысяч компаний — оборона на уровне «у нас хороший код» уже не работает. Эра атак на цепочку поставок, похоже, только разворачивается, и OpenAI — далеко не последняя её жертва.
