**OpenAI** a annoncé avoir pivoté les certificats de signature de code de ses applications par mesure de précaution après que deux appareils d'employés aient été compromis lors de la récente attaque de la chaîne d'approvisionnement de **TanStack**. Cet incident, qui a touché des centaines de packages npm et PyPI, a incité l'entreprise à agir rapidement pour sécuriser son écosystème logiciel. ### Impact limité Dans un avis de sécurité, **OpenAI** a déclaré que la violation n'avait affecté ni les données des clients, ni les systèmes de production, ni la propriété intellectuelle, ni les logiciels déployés. L'entreprise a lié l'incident à la campagne de la chaîne d'approvisionnement "Mini Shai-Hulud" menée par le gang d'extorsion **TeamPCP**. "Nous avons observé une activité cohérente avec le comportement publiquement décrit du malware, y compris un accès non autorisé et une exfiltration axée sur les identifiants, dans un sous-ensemble limité de dépôts de code source internes auxquels les deux employés impactés avaient accès", a expliqué **OpenAI**. L'entreprise a confirmé que seuls des identifiants limités ont été volés dans les dépôts et qu'il n'y a aucune preuve qu'ils aient été utilisés dans d'autres attaques. **OpenAI** a isolé les systèmes et comptes affectés, révoqué les sessions, pivoté les identifiants dans les dépôts affectés et restreint temporairement les flux de déploiement. Une enquête forensique a été menée avec l'aide d'une société tierce d'intervention en cas d'incident. ### Rotation des certificats de signature de code Les certificats de signature de code utilisés pour les produits **OpenAI** sur macOS, Windows, iOS et Android ont été exposés lors de l'incident. Bien qu'aucun abus de ces certificats pour signer des logiciels malveillants n'ait été détecté, **OpenAI** les fait pivoter par mesure de précaution. Les utilisateurs de macOS devront mettre à jour leurs applications de bureau **OpenAI** avant le 12 juin 2026, car les applications signées avec les anciens certificats pourraient ne pas se lancer ou ne pas recevoir de mises à jour en raison du processus de notarisation d'**Apple**. Les utilisateurs de Windows et d'iOS ne sont pas affectés et n'ont aucune action à entreprendre. ### L'attaque de la chaîne d'approvisionnement TanStack La violation d'**OpenAI** fait partie d'une campagne plus large de la chaîne d'approvisionnement logicielle Mini Shai-Hulud qui a compromis des centaines de packages npm et PyPI. L'attaque a initialement ciblé des packages de **TanStack** et **Mistral AI** avant de s'étendre à d'autres projets, notamment **UiPath**, **Guardrails AI** et **OpenSearch**, via des identifiants CI/CD volés et des flux de travail légitimes. Des chercheurs de **Socket** et **Aikido** ont suivi des centaines de packages compromis distribués via des dépôts de packages légitimes. Selon le post-mortem de **TanStack**, les attaquants ont exploité les faiblesses des flux de travail **GitHub Actions** du projet et la configuration CI/CD pour exécuter du code malveillant, extraire des jetons de la mémoire et publier des packages malveillants via le pipeline de publication normal de **TanStack**. Le malware Mini Shai-Hulud visait le vol d'identifiants de développeurs et de cloud, y compris les jetons **GitHub**, les jetons de publication npm, les identifiants **AWS**, les secrets Kubernetes, les clés SSH et les fichiers .env. Le malware établissait également une persistance sur les systèmes des développeurs en modifiant les hooks Claude Code et les tâches d'exécution automatique de VS Code. Le malware se propageait en utilisant des identifiants **GitHub** et npm volés pour compromettre les comptes des mainteneurs, injecter des payloads malveillants dans les fichiers tar des packages et publier de nouvelles versions de packages troyanisées dans les dépôts. **Microsoft** Threat Intelligence a rapporté que l'attaque avait lancé un outil de vol d'informations sous Linux ciblant les systèmes exécutant des logiciels en langue russe. Le malware contenait également un composant de sabotage destructeur qui exécutait aléatoirement une commande d'effacement récursive sur certains systèmes israéliens ou iraniens. **OpenAI** souligne que cet incident met en évidence la tendance croissante des attaquants à cibler la chaîne d'approvisionnement logicielle pour un impact généralisé. "Les logiciels modernes sont construits sur un écosystème profondément interconnecté de bibliothèques open-source, de gestionnaires de paquets et d'infrastructure d'intégration et de déploiement continus, ce qui signifie qu'une vulnérabilité introduite en amont peut se propager largement et rapidement à travers les organisations", a conclu l'entreprise. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Le fossé de la validation : les tests d'intrusion automatisés répondent à une question. Vous en avez besoin de six.</a></h2> <p>Les outils de tests d'intrusion automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour vérifier si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent ou si vos configurations cloud tiennent bon.</p> <p>Ce guide couvre les 6 surfaces que vous devez réellement valider.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Télécharger maintenant</a></p> </div> </div>