OpenAI heeft bekendgemaakt dat twee van zijn werknemersapparaten in de bedrijfsomgeving zijn getroffen door de Mini Shai-Hulud supply chain-aanval op TanStack, maar merkte op dat er geen gebruikersgegevens, productiesystemen of intellectueel eigendom in gevaar zijn gebracht of op ongeoorloofde wijze zijn gewijzigd.
“Nadat we de kwaadaardige activiteit hadden geïdentificeerd, hebben we snel gewerkt aan het onderzoeken, indammen en nemen van stappen om onze systemen te beschermen”, aldus OpenAI. “We hebben activiteit waargenomen die consistent is met het publiekelijk beschreven gedrag van de malware, inclusief ongeoorloofde toegang en op inloggegevens gerichte exfiltratie-activiteit, in een beperkte subset van interne broncodeopslagplaatsen waartoe de twee getroffen werknemers toegang hadden.”
De kunstmatige intelligentie (AI)-parvenu zei dat slechts een beperkt aantal inloggegevens met succes werd overgedragen vanuit deze codeopslagplaatsen, en voegde eraan toe dat er geen andere informatie of code werd beïnvloed.
Toen OpenAI op de hoogte werd gebracht van de activiteit, zei het dat het getroffen systemen en identiteiten isoleerde, gebruikerssessies introk, alle inloggegevens over de getroffen repository’s draaide, tijdelijk de workflows voor code-implementatie beperkte en het gedrag van gebruikers en inloggegevens controleerde.
Omdat de getroffen opslagplaatsen ondertekeningscertificaten voor iOS-, macOS- en Windows-producten bevatten, heeft het bedrijf de stap gezet om de certificaten in te trekken en nieuwe uit te geven. Als gevolg hiervan zijn macOS-gebruikers van ChatGPT Desktop, Codex App, Codex CLI en Atlas verplicht hun apps bij te werken naar de nieuwste versies.
“Dit helpt elk risico, hoe onwaarschijnlijk ook, te voorkomen dat iemand een nep-app probeert te verspreiden die van OpenAI lijkt te komen”, aldus OpenAI. “Gebruikers hoeven geen actie te ondernemen voor Windows- en iOS-apps.”
De certificaten zullen naar verwachting op 12 juni 2026 worden ingetrokken, waarna nieuwe downloads en lanceringen van apps die met het vorige certificaat zijn ondertekend, worden geblokkeerd door ingebouwde macOS-beveiligingen. Voor een optimale bescherming wordt gebruikers daarom geadviseerd de updates vóór de uiterste datum toe te passen.
Dit is de tweede keer in evenveel maanden dat OpenAI zijn code-signing-certificaten voor zijn macOS heeft gerouleerd. Rond half april 2026 werden de certificaten gerouleerd nadat een GitHub Actions-workflow die werd gebruikt om zijn macOS-apps te ondertekenen, op 31 maart leidde tot het downloaden van de kwaadaardige Axios-bibliotheek, die werd gecompromitteerd door een Noord-Koreaanse hackgroep genaamd UNC1069.
“Dit incident weerspiegelt een bredere verschuiving in het bedreigingslandschap: aanvallers richten zich steeds meer op gedeelde softwareafhankelijkheden en ontwikkelingstools in plaats van op één enkel bedrijf”, aldus OpenAI.
“Moderne software is gebouwd op een diep onderling verbonden ecosysteem van open-sourcebibliotheken, pakketbeheerders en een infrastructuur voor continue integratie en continue implementatie, wat betekent dat een kwetsbaarheid die stroomopwaarts wordt geïntroduceerd zich breed en snel binnen organisaties kan verspreiden.”
De ontwikkeling komt dicht op de hielen van TeamPCP dat een aantal nieuwe slachtoffers claimt, waarbij honderden pakketten geassocieerd met TanStack, UiPath, Mistral AI, OpenSearch en Guardrails AI in gevaar worden gebracht als onderdeel van een voortdurende supply chain-aanvalscampagne die is ontworpen om malware naar downstream-ontwikkelaars te pushen en inloggegevens van hun systemen te stelen om de omvang van de inbreuken verder uit te breiden.
“Voor alle duidelijkheid: geen enkele beheerder is gephishing, er is een wachtwoord gelekt of er is een token van zijn account gestolen”, aldus TanStack. “De aanvaller slaagde erin een pad te creëren waar onze eigen CI-pijplijn zijn eigen publicatietoken voor hen stal, precies op het moment dat het werd aangemaakt, door middel van een cache die iedereen in de keten impliciet vertrouwde. Het is een geavanceerde aanpak die we niet hadden verwacht en die we zeer serieus nemen.”
TeamPCP heeft sindsdien een supply chain-aanvalwedstrijd aangekondigd in samenwerking met Breached cybercrime, waarbij deelnemers met $ 1.000 aan Monero worden aangeboden om open-sourcepakketten te compromitteren met behulp van de Shai-Hulud-worm die het gratis beschikbaar heeft gesteld voor anderen. De hackgroep heeft ook gedreigd ongeveer 5 GB aan interne broncode van Mistral AI te lekken en potentiële kopers om $ 25.000 BIN te vragen.
“We zijn op zoek naar $25k BIN of ze kunnen dit betalen en we zullen deze permanent versnipperen, alleen verkopen aan de beste aanbieding en beperkt tot één persoon. Als we binnen een week geen koper kunnen vinden, zullen we deze allemaal gratis naar de forums lekken”, zei TeamPCP in de post.
In een bijgewerkt advies bevestigde Mistral AI dat het getroffen was door een supply chain-aanval veroorzaakt door het compromitteren van TanStac, wat leidde tot de release van getrojaniseerde versies van zijn npm- en PyPI SDK’s. Er werd ook gezegd dat een eenzaam ontwikkelaarsapparaat door de hack was getroffen. Er zijn geen aanwijzingen dat de infrastructuur is geschonden.
Een diepere analyse van de modulaire Python-toolkit die via de pakketten guardrails-ai en mistralai aan Linux-systemen wordt geleverd, heeft aan het licht gebracht dat het primaire command-and-control (C2) serveradres (“83.142.209(.)194”) hardgecodeerd is. In het geval dat de primaire C2 onbereikbaar wordt, wordt een terugvalmechanisme genaamd FIRESCALE geactiveerd.
“Wanneer de primaire C2 niet beschikbaar is, doorzoekt de malware alle openbare GitHub-commit-berichten wereldwijd op zoek naar een ondertekende alternatieve server-URL, geverifieerd aan de hand van een ingebedde 4096-bit RSA-sleutel”, aldus Hunt.io. “Exfiltratie volgt drie paden in volgorde: primaire C2-server, FIRESCALE dead-drop redirect en de eigen GitHub-repository van het slachtoffer. Door een enkele laag te blokkeren blijven de andere twee intact.”
Het cyberbeveiligingsbedrijf onthulde ook dat de verzamelmodule die verantwoordelijk is voor het verzamelen van inloggegevens van Amazon Web Services (AWS) alle 19 beschikbaarheidszones in zijn doellijst bestrijkt, inclusief us-gov-east-1 (AWS GovCloud – US-East) en us-gov-west-1 (AWS GovCloud – US-West), die beperkt zijn tot Amerikaanse overheidsinstanties en defensiecontractanten.
Een ander ongebruikelijk aspect van de campagne is het destructieve gedrag dat ermee gepaard gaat. Op machines met een geolocatie naar Israël of Iran activeert een waarschijnlijkheidspoort van 1 op 6 het afspelen van audio op maximaal volume, gevolgd door het verwijderen van alle toegankelijke bestanden. De malware bestaat op systemen met een Russische landinstelling.
De destructieve acties gericht op specifieke geografische regio’s weerspiegelen de ‘kamikaze’-wisser die door TeamPCP werd losgelaten op in Iran gevestigde Kubernetes-clusters in verband met een eerdere supply chain-aanval waarbij een zichzelf voortplantende worm bekend als CanisterWorm werd verspreid. Deze terugkerende gedragingen wijzen eerder op een opzettelijke handeling dan op iets opportunistisch.
“De toolkit is capabeler, veerkrachtiger en geavanceerder”, aldus Hunt.io. “Behalve de inloggegevensbestanden vangt de malware elke omgevingsvariabele op de machine op, leest alle SSH-sleutels en configuraties, doorzoekt de hele homedirectory voor dotenv-bestanden en haalt inloggegevens op uit draaiende Docker-containers.”
