Jeśli używasz aplikacji OpenAI na macOS — zaktualizuj przed 12 czerwca 2026. Po tej dacie Apple zablokuje aplikacje podpisane starym certyfikatem: ChatGPT Desktop (ostatnia wersja: 1.2026.125), Codex App (26.506.31421), Codex CLI (0.130.0), Atlas (1.2026.119.1). Aktualizacja przez wbudowany mechanizm aplikacji lub oficjalną stronę — nie przez linki z emaili, reklam ani stron trzecich. Windows i iOS: brak wymaganych działań.
OpenAI opublikowało 14 maja oficjalny advisory. Dwa urządzenia pracowników skompromitowane przez Mini Shai-Hulud przez TanStack 11 maja. Ograniczony wyciek danych uwierzytelniających z wewnętrznych repozytoriów kodu. Żadnych danych użytkowników, żadnych systemów produkcyjnych, żadnego kodu modeli — OpenAI to potwierdza.
Ale jest jedna zdanie w advisory które jest ważniejsze niż wszystkie pozostałe ustalenia dochodzenia: "This incident occurred during our phased deployment and rollout of these controls, and the two impacted employee devices did not have the updated configurations that would have prevented the download of the newly observed package containing malware."
Dwa urządzenia które nie miały jeszcze nowych kontroli bezpieczeństwa. W momencie gdy firma wdraża ulepszone zabezpieczenia.
To jest uczciwe przyznanie. I jest informacją o tym jak szybko kampanie supply chain mogą uderzyć: zanim skończysz wdrażać ochronę, atakujący już jest w środku.
Drugi raz. Inne gruppy, te same certyfikaty.
Jest jeden szczegół w tym advisory który The Hacker News opisuje, a większość pozostałych omówień pomija.
Około połowy kwietnia 2026 roku — na kilka tygodni przed TanStack — OpenAI rotował certyfikaty podpisywania kodu po innym incydencie. 31 marca 2026 GitHub Actions workflow używany do podpisywania aplikacji macOS pobrał złośliwą wersję biblioteki Axios. Ta wersja Axios była skompromitowana przez UNC1069 — grupę powiązaną z Koreą Północną.
Dwie osobne grupy, dwa osobne wektory, te same certyfikaty podpisywania kodu.
UNC1069 przez Axios w marcu. TeamPCP przez TanStack w maju. Obie kampanie trafiły w infrastrukturę podpisywania macOS OpenAI — jedną z najbardziej krytycznych warstw zaufania między producentem oprogramowania a użytkownikami końcowymi. Użytkownik który instaluje aplikację z ważnym certyfikatem OpenAI zakłada że pochodzi od OpenAI. Jeśli certyfikat jest skompromitowany — to założenie przestaje być prawdziwe.
Dlaczego certyfikaty są warte atakowania
Skompromitowane repozytoria zawierały certyfikaty podpisywania kodu dla iOS, macOS, Windows i Android. OpenAI zdecydowało się na pełną rotację wszystkich z nich — nawet jeśli wyciek danych uwierzytelniających był "ograniczony."
Dlaczego tak radykalny krok przy "ograniczonym wycieku"? Bo ryzyko z certyfikatami jest asymetryczne: jeśli atakujący ma certyfikat podpisywania kodu który jest zaufany przez macOS, może opublikować aplikację która wygląda dokładnie jak ChatGPT, Codex lub Atlas — i zostanie zainstalowana bez ostrzeżenia przez użytkownika który kliknął link w emailu.
OpenAI opisuje tę właśnie możliwość wprost w advisory, i jednocześnie wyjaśnia dlaczego rotacja eliminuje ryzyko: po unieważnieniu starego certyfikatu każda aplikacja nim podpisana zostanie zablokowana przez macOS. Fałszywa aplikacja używająca skompromitowanego certyfikatu nie będzie mogła przejść notaryzacji — bo Apple zablokuje nowe notaryzacje tym certyfikatem.
TanStack jako punkt wejścia, certyfikaty jako cel
Pisaliśmy przy analizie TanStack że atak był skomplikowany technicznie — trzy podatności GitHub Actions połączone w łańcuch, cache poisoning, ekstrakcja tokenu OIDC z pamięci runnera. Przy analizie Mistral i TeamPCP opisywaliśmy geofencowany payload destrukcyjny.
Kompromitacja dwóch urządzeń OpenAI pokazuje że te technicznie zaawansowane wektory mają konkretny cel operacyjny: dostanie się do środowisk deweloperskich gdzie siedzą certyfikaty podpisywania kodu. Nie dla szantażu. Nie dla kradzieży modeli. Dla możliwości podpisywania fałszywych aplikacji w imieniu zaufanych firm.
TeamPCP jako "access generation engine" — opisywaliśmy ich model biznesowy jako generowanie dostępu sprzedawanego innym podmiotom. Certyfikaty podpisywania kodu OpenAI to zasób który ma wartość daleko wykraczającą poza samą organizację.
Jeden akapit z advisory który zasługuje na przeczytanie
OpenAI napisało coś co rzadko pojawia się w advisory bezpieczeństwa dużych firm: "This incident reflects a broader shift in the threat landscape: attackers are increasingly targeting shared software dependencies and development tooling rather than any single company. Modern software is built on a deeply interconnected ecosystem of open-source libraries, package managers, and CI/CD infrastructure, which means that a vulnerability introduced upstream can propagate widely and quickly across organizations."
To jest CISO OpenAI opisujący to samo co cyberflux opisywał przez ostatnie miesiące — przez Checkmarx KICS, PyTorch Lightning, TanStack i Mistral.
Różnica: tym razem mówi to firma której urządzenia zostały skompromitowane, po fakcie.
Źródła
OpenAI Blog — pełne oficjalne advisory z timeline i instrukcjami: https://openai.com/index/our-response-to-the-tanstack-npm-supply-chain-attack/
BleepingComputer — szczegóły rotacji certyfikatów i wersje do aktualizacji: https://www.bleepingcomputer.com/news/security/openai-confirms-security-breach-in-tanstack-supply-chain-attack/
The Hacker News — kontekst UNC1069 i Axios w marcu, drugi incydent z certyfikatami: https://thehackernews.com/2026/05/tanstack-supply-chain-attack-hits-two.html
SecurityWeek — szczegóły dotkniętych platform i skali rotacji: https://www.securityweek.com/openai-hit-by-tanstack-supply-chain-attack/
The Record — szczegóły wdrożenia nowych kontroli i timeline incydentu: https://therecord.media/openai-asks-macos-users-to-update-tanstack-npm
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł