**OpenAI** ha anunciado que rotó los certificados de firma de código para sus aplicaciones como medida de precaución después de que dos dispositivos de empleados fueran vulnerados en el reciente ataque a la cadena de suministro de **TanStack**. Este incidente, que afectó a cientos de paquetes npm y PyPI, impulsó a la empresa a tomar medidas rápidas para asegurar su ecosistema de software. ### Impacto Limitado En un aviso de seguridad, **OpenAI** declaró que la violación no afectó los datos de los clientes, los sistemas de producción, la propiedad intelectual ni el software desplegado. La empresa vinculó el incidente a la campaña de cadena de suministro "Mini Shai-Hulud" de la banda de extorsión **TeamPCP**. "Observamos actividad consistente con el comportamiento descrito públicamente por el malware, incluyendo acceso no autorizado y actividad de exfiltración centrada en credenciales, en un subconjunto limitado de repositorios de código fuente internos a los que tenían acceso los dos empleados afectados", explicó **OpenAI**. La empresa confirmó que solo se robaron credenciales limitadas de los repositorios y que no hay evidencia de que se hayan utilizado en ataques posteriores. **OpenAI** aisló los sistemas y cuentas afectados, revocó sesiones, rotó credenciales en los repositorios afectados y restringió temporalmente los flujos de trabajo de despliegue. Se llevó a cabo una investigación forense con la ayuda de una firma externa de respuesta a incidentes. ### Rotación de Certificados de Firma de Código Los certificados de firma de código utilizados para los productos de **OpenAI** en macOS, Windows, iOS y Android quedaron expuestos durante el incidente. Aunque no se detectó ningún abuso de estos certificados para firmar software malicioso, **OpenAI** los está rotando como medida de precaución. Los usuarios de macOS deberán actualizar sus aplicaciones de escritorio de **OpenAI** antes del 12 de junio de 2026, ya que las aplicaciones firmadas con los certificados antiguos podrían no iniciarse ni recibir actualizaciones debido al proceso de notarización de **Apple**. Los usuarios de Windows e iOS no se ven afectados y no necesitan tomar ninguna medida. ### El Ataque a la Cadena de Suministro de TanStack La violación de **OpenAI** es parte de una campaña más amplia de cadena de suministro de software, Mini Shai-Hulud, que comprometió cientos de paquetes npm y PyPI. El ataque inicialmente se dirigió a paquetes de **TanStack** y **Mistral AI** antes de extenderse a otros proyectos, incluyendo **UiPath**, **Guardrails AI** y **OpenSearch**, a través de credenciales CI/CD robadas y flujos de trabajo legítimos. Investigadores de **Socket** y **Aikido** rastrearon cientos de paquetes comprometidos distribuidos a través de repositorios de paquetes legítimos. Según el análisis post-mortem de **TanStack**, los atacantes explotaron debilidades en los flujos de trabajo de **GitHub Actions** del proyecto y la configuración CI/CD para ejecutar código malicioso, extraer tokens de la memoria y publicar paquetes maliciosos a través del pipeline de lanzamiento normal de **TanStack**. El malware Mini Shai-Hulud se centró en el robo de credenciales de desarrollador y de la nube, incluyendo tokens de **GitHub**, tokens de publicación de npm, credenciales de **AWS**, secretos de Kubernetes, claves SSH y archivos .env. El malware también estableció persistencia en los sistemas de los desarrolladores modificando los ganchos de Claude Code y las tareas de auto-ejecución de VS Code. El malware se propagó utilizando credenciales robadas de **GitHub** y npm para comprometer cuentas de mantenedores, inyectar payloads maliciosos en los archivos tar de los paquetes y publicar nuevas versiones troyanizadas de los paquetes en los repositorios. **Microsoft** Threat Intelligence informó que el ataque lanzó una herramienta de robo de información para Linux dirigida a sistemas que ejecutan software en idioma ruso. El malware también contenía un componente destructivo de sabotaje que ejecutaría aleatoriamente un comando de borrado recursivo en algunos sistemas israelíes o iraníes. **OpenAI** enfatiza que este incidente resalta la creciente tendencia de los atacantes a dirigirse a la cadena de suministro de software para lograr un impacto generalizado. "El software moderno se construye sobre un ecosistema profundamente interconectado de bibliotecas de código abierto, gestores de paquetes e infraestructura de integración continua y despliegue continuo, lo que significa que una vulnerabilidad introducida en etapas anteriores puede propagarse de manera amplia y rápida a través de las organizaciones", concluyó la empresa. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">The Validation Gap: Automated Pentesting Answers One Question. You Need Six.</a></h2> <p>Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold.</p> <p>This guide covers the 6 surfaces you actually need to validate.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Download Now</a></p> </div> </div>