La supply chain attack che ha colpito centinaia di pacchetti npm e PyPI nelle scorse settimane ha raggiunto anche OpenAI, che ha confermato la compromissione dei dispositivi di due dipendenti nell’ambito della campagna nota come “Mini Shai–Hulud“. Una vicenda che mette in luce, ancora una volta, quanto siano fragili le catene di distribuzione del software moderno e quanto possano essere devastanti gli effetti a cascata di un singolo attacco ben orchestrato.
Cosa è successo a OpenAI e quali dati sono stati coinvolti
Stando all’avviso di sicurezza pubblicato dall’azienda, l’incidente non ha avuto impatto sui dati dei clienti, sui sistemi di produzione, sulla proprietà intellettuale né sul software già distribuito. La violazione, però, ha comunque avuto conseguenze concrete: gli attaccanti sono riusciti ad accedere a un sottoinsieme limitato di repository interni di codice sorgente collegati ai due dipendenti colpiti, con attività di esfiltrazione focalizzata sulle credenziali.
OpenAI ha spiegato che il comportamento rilevato era coerente con quello già documentato pubblicamente per il malware della campagna. Solo credenziali limitate sono state sottratte, e al momento non ci sono evidenze che siano state utilizzate per attacchi ulteriori. La risposta dell’azienda è stata rapida: sistemi e account interessati isolati, sessioni revocate, credenziali ruotate su tutti i repository coinvolti e flussi di deployment temporaneamente bloccati. Una società esterna specializzata in incident response ha inoltre collaborato all’indagine forense.
C’è un aspetto particolarmente delicato. I certificati di firma del codice utilizzati per i prodotti OpenAI su macOS, Windows, iOS e Android sono stati esposti durante l’incidente. L’azienda non ha rilevato abusi di questi certificati per firmare software malevolo, ma ha comunque deciso di ruotarli in via precauzionale. Per gli utenti macOS questo significa dover aggiornare le applicazioni desktop di OpenAI entro il 12 giugno 2026, perché le app firmate con i vecchi certificati potrebbero smettere di funzionare o di ricevere aggiornamenti a causa del processo di notarizzazione di Apple. Gli utenti Windows e iOS, invece, non devono fare nulla.
La campagna Mini Shai Hulud e l’attacco alla supply chain di TanStack
La violazione ai danni di OpenAI fa parte di una campagna molto più ampia. La gang TeamPCP, specializzata in estorsioni, ha orchestrato l’operazione “Mini Shai Hulud” prendendo di mira inizialmente i pacchetti di TanStack e Mistral AI, per poi estendersi a progetti come UiPath, Guardrails AI e OpenSearch, sfruttando credenziali CI/CD rubate e flussi di lavoro legittimi.
Ricercatori di Socket e Aikido hanno tracciato centinaia di pacchetti compromessi distribuiti attraverso i normali repository. Secondo il post mortem pubblicato da TanStack, gli attaccanti hanno sfruttato debolezze nei workflow di GitHub Actions e nella configurazione CI/CD del progetto per eseguire codice malevolo, estrarre token dalla memoria e pubblicare pacchetti infetti attraverso la pipeline di rilascio ufficiale. Il risultato è che le versioni malevole apparivano del tutto legittime.
Il malware distribuito nella campagna aveva come obiettivo principale il furto di credenziali per sviluppatori e ambienti cloud: token GitHub, token di pubblicazione npm, credenziali AWS, segreti Kubernetes, chiavi SSH e file .env. I ricercatori hanno inoltre scoperto che il software malevolo stabiliva persistenza sui sistemi degli sviluppatori modificando gli hook di Claude Code e i task di esecuzione automatica di VS Code, riuscendo così a sopravvivere anche alla rimozione del pacchetto compromesso.
La diffusione verso altri progetti avveniva utilizzando le credenziali GitHub e npm rubate per compromettere gli account dei maintainer, iniettare payload malevoli nei tarball dei pacchetti e pubblicare nuove versioni trojanizzate. Microsoft Threat Intelligence ha anche segnalato il lancio di uno strumento di furto informazioni per Linux, pensato per colpire sistemi con software in lingua russa, contenente anche un componente distruttivo che eseguiva in modo casuale comandi di cancellazione ricorsiva su alcuni sistemi israeliani o iraniani.
OpenAI ha evidenziato come l’incidente rientri in una tendenza crescente: gli attaccanti prendono di mira la software supply chain anziché le singole aziende, perché una vulnerabilità introdotta a monte si propaga rapidamente e su larga scala attraverso l’ecosistema interconnesso di librerie open source, gestori di pacchetti e infrastrutture CI/CD.
