OpenAI ha revelado que dos de los dispositivos de sus empleados en su entorno corporativo se vieron afectados por el ataque a la cadena de suministro Mini Shai-Hulud en TanStack, pero señaló que ningún dato de usuario, sistemas de producción o propiedad intelectual se vieron comprometidos o modificados de manera no autorizada.
«Tras la identificación de la actividad maliciosa, trabajamos rápidamente para investigar, contener y tomar medidas para proteger nuestros sistemas», OpenAI dicho. «Observamos actividad consistente con el comportamiento descrito públicamente del malware, incluido el acceso no autorizado y la actividad de exfiltración centrada en credenciales, en un subconjunto limitado de repositorios de código fuente internos a los que tenían acceso los dos empleados afectados».
El advenedizo de inteligencia artificial (IA) dijo que solo se transfirió con éxito material de credenciales limitado desde estos repositorios de códigos, y agregó que ninguna otra información o código se vio afectado.
Al ser alertado de la actividad, OpenAI dijo que aisló los sistemas e identidades afectados, revocó las sesiones de los usuarios, rotó todas las credenciales entre los repositorios afectados, restringió temporalmente los flujos de trabajo de implementación de código y auditó el comportamiento de los usuarios y las credenciales.
Dado que los repositorios afectados incluían certificados de firma para productos iOS, macOS y Windows, la empresa tomó la medida de revocar los certificados y emitir otros nuevos. Como resultado, los usuarios de macOS de ChatGPT Desktop, Codex App, Codex CLI y Atlas deben actualizar sus aplicaciones a las últimas versiones.
«Esto ayuda a prevenir cualquier riesgo, por improbable que sea, de que alguien intente distribuir una aplicación falsa que parece ser de OpenAI», dijo OpenAI. «Los usuarios no necesitan realizar ninguna acción para las aplicaciones de Windows e iOS».
Está previsto que los certificados se revoquen el 12 de junio de 2026, después de lo cual las protecciones integradas de macOS bloquearán las nuevas descargas y lanzamientos de aplicaciones firmadas con el certificado anterior. Por lo tanto, se recomienda a los usuarios que apliquen las actualizaciones antes de la fecha límite para una protección óptima.
Esta es la segunda vez que OpenAI rota sus certificados de firma de código para su macOS en la misma cantidad de meses. Alrededor de mediados de abril de 2026, rotó los certificados después de que un flujo de trabajo de GitHub Actions utilizado para firmar sus aplicaciones macOS condujera a la descarga de la biblioteca maliciosa Axios el 31 de marzo, que fue comprometida por un grupo de hackers norcoreano llamado UNC1069.
«Este incidente refleja un cambio más amplio en el panorama de amenazas: los atacantes se dirigen cada vez más a dependencias de software y herramientas de desarrollo compartidas en lugar de a una sola empresa», dijo OpenAI.
«El software moderno se basa en un ecosistema profundamente interconectado de bibliotecas de código abierto, administradores de paquetes e infraestructura de integración y despliegue continuos, lo que significa que una vulnerabilidad introducida en sentido ascendente puede propagarse amplia y rápidamente entre las organizaciones».
El desarrollo viene inmediatamente después de que TeamPCP reclamara una serie de nuevas víctimas, comprometiendo cientos de paquetes asociados con TanStack, UiPath, Mistral AI, OpenSearch y Guardrails AI como parte de una campaña de ataque en curso a la cadena de suministro diseñada para enviar malware a los desarrolladores posteriores y robar credenciales de sus sistemas para ampliar aún más la escala de las infracciones.
«Para que quede claro, ningún mantenedor fue objeto de phishing, se filtró su contraseña o se le robó un token de su cuenta», TanStack dicho. «El atacante logró diseñar un camino donde nuestro propio canal de CI robó su propio token de publicación, en el momento exacto en que se creó, a través de un caché en el que todos en la cadena confiaban implícitamente. Es un enfoque sofisticado que no habíamos anticipado y que nos estamos tomando muy en serio».
Desde entonces, TeamPCP ha anunciado un concurso de ataque a la cadena de suministro en asociación con Breached Cybercrime, ofreciendo a los participantes 1.000 dólares en Monero para comprometer paquetes de código abierto utilizando el gusano Shai-Hulud que ha puesto a disposición de otros de forma gratuita. El grupo de hackers también amenazó con filtrar alrededor de 5 GB de código fuente interno de Mistral AI, solicitando $25,000 BIN a posibles compradores.
«Estamos buscando $25k BIN o pueden pagar esto y los destruiremos permanentemente, vendiendo solo a la mejor oferta y limitado a una persona, si no podemos encontrar un comprador dentro de una semana, filtraremos todo esto gratis en los foros», TeamPCP dicho en la publicación.
En un aviso actualizado, Mistral AI confirmado se vio afectado por un ataque a la cadena de suministro causado por el compromiso de TanStac, lo que llevó al lanzamiento de versiones troyanizadas de sus SDK npm y PyPI. También dijo que un único dispositivo de desarrollador se vio afectado por el ataque. No hay evidencia que sugiera que su infraestructura haya sido violada.
Un análisis más profundo del kit de herramientas modular Python entregado a los sistemas Linux a través de los paquetes guardrails-ai y mistralai ha descubierto que la dirección principal del servidor de comando y control (C2) («83.142.209[.]194») está codificado. En caso de que el C2 primario se vuelva inalcanzable, se activa un mecanismo de respaldo llamado FIRESCALE.
«Cuando el C2 principal no está disponible, el malware busca en todos los mensajes públicos de confirmación de GitHub en todo el mundo una URL de servidor alternativa firmada, verificada con una clave RSA integrada de 4096 bits», Hunt.io dicho. «La exfiltración sigue tres caminos en secuencia: servidor C2 primario, redireccionamiento directo de FIRESCALE y el propio repositorio GitHub de la víctima. Bloquear cualquier nivel deja los otros dos intactos».
La empresa de ciberseguridad también reveló que el módulo de recopilación responsable de recopilar las credenciales de Amazon Web Services (AWS) cubre todas 19 zonas de disponibilidad en su lista de objetivos, incluidos us-gov-east-1 (AWS GovCloud – US-East) y us-gov-west-1 (AWS GovCloud – US-West), que están restringidos a agencias gubernamentales y contratistas de defensa de EE. UU.
Otro aspecto inusual de la campaña es el comportamiento destructivo que se le atribuye. En máquinas geolocalizadas en Israel o Irán, una puerta de probabilidad de 1 entre 6 activa la reproducción de audio al máximo volumen, seguida de la eliminación de todos los archivos accesibles. El malware existe en sistemas con configuración regional rusa.
Las acciones destructivas dirigidas a regiones geográficas específicas reflejan el limpiador «kamikaze» que desató TeamPCP en clústeres de Kubernetes con sede en Irán en relación con un ataque anterior a la cadena de suministro que distribuía un gusano autopropagante conocido como CanisterWorm. Estos comportamientos recurrentes apuntan a una operación más intencional que algo oportunista.
«El conjunto de herramientas es más capaz, más resistente y más sofisticado», afirmó Hunt.io. «Más allá de los archivos de credenciales, el malware captura todas las variables de entorno de la máquina, lee todas las claves y configuraciones SSH, recorre todo el directorio de inicio en busca de archivos dotenv y extrae las credenciales de los contenedores Docker en ejecución».
