Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Supply Chain TanStack colpisce OpenAI: revocati certificati di firma, utenti macOS devono aggiornare subito
OpenAI ha comunicato di aver identificato un impatto limitato nel proprio ambiente aziendale a seguito di un attacco alla supply chain che ha colpito TanStack. Due dispositivi di dipendenti sono stati coinvolti tramite il malware noto come Mini Shai Hulud, con attività coerenti con il comportamento già descritto pubblicamente.
In particolare sono stati osservati accessi non autorizzati e tentativi di esfiltrazione focalizzati sulle credenziali all’interno di un sottoinsieme ristretto di repository di codice sorgente interni a cui quei due utenti avevano accesso. L’azienda ha precisato che non risultano compromessi dati degli utenti, sistemi di produzione o proprietà intellettuale, e che il materiale effettivamente trasferito sarebbe limitato a credenziali.
La risposta operativa è stata rapida e orientata al contenimento. OpenAI ha isolato i sistemi e le identità coinvolte, revocato le sessioni utente, ruotato tutte le credenziali relative ai repository interessati, applicato restrizioni temporanee ai workflow di distribuzione del codice e avviato audit su comportamenti di utenti e credenziali. Questo tipo di misure è tipico nei casi di supply chain attack, dove il rischio principale è la propagazione laterale attraverso token, chiavi e accessi automatizzati usati nelle pipeline di sviluppo.
Certificati di firma del codice e aggiornamenti richiesti
Un punto cruciale riguarda i certificati di firma del codice. Poiché tra i repository impattati erano presenti certificati di signing per prodotti iOS, macOS e Windows, OpenAI ha revocato i certificati e ne ha emessi di nuovi. Di conseguenza, gli utenti macOS di ChatGPT Desktop, Codex App, Codex CLI e Atlas devono aggiornare le applicazioni alle versioni più recenti. L’obiettivo è ridurre il rischio che qualcuno possa distribuire un’app falsa che sembri legittima. Per Windows e iOS non sono richieste azioni da parte degli utenti.
Scadenza della revoca e impatto su macOS
La revoca dei certificati precedenti è programmata per il 12 giugno 2026. Dopo tale data, download e avvii di app firmate con i vecchi certificati verranno bloccati dalle protezioni integrate di macOS, rendendo l’aggiornamento una misura di sicurezza pratica oltre che preventiva.
Un trend più ampio nella cybersecurity
L’episodio si inserisce in una tendenza più ampia nella cybersecurity: gli attaccanti puntano sempre più spesso su dipendenze condivise, librerie open source, package manager e infrastrutture CI/CD. Un singolo punto debole a monte può diffondersi rapidamente a valle, colpendo più organizzazioni e catene di sviluppo contemporaneamente.