TL;DR:

OpenAI confirmó que dos dispositivos de empleados fueron afectados por un ataque de cadena de suministro ligado a TanStack.

TanStack reportó 84 versiones maliciosas publicadas en 42 paquetes npm durante una ventana de seis minutos.

OpenAI dijo que no encontró evidencia de acceso a datos de usuarios, sistemas de producción, propiedad intelectual o software alterado.

OpenAI confirmó que dos dispositivos de empleados fueron afectados por el ataque de cadena de suministro contra TanStack npm, una biblioteca open source usada para desarrollar aplicaciones web. La compañía detectó acceso no autorizado y robo limitado de credenciales en algunos repositorios internos, pero aseguró que no encontró evidencia de que los atacantes accedieran a datos de usuarios, comprometieran sistemas de producción, robaran propiedad intelectual o alteraran su software. El caso importa porque muestra cómo un ataque contra dependencias open source puede golpear a compañías de primer nivel sin entrar directamente por sus sistemas principales.

"No encontramos evidencia de que se haya accedido a datos de usuarios de OpenAI, de que nuestros sistemas de producción o propiedad intelectual hayan sido comprometidos, o de que nuestro software haya sido alterado."

La empresa publicó su respuesta el 13 de mayo de 2026, después de investigar el incidente con apoyo de una firma externa de forense digital y respuesta a incidentes. OpenAI dijo que aisló los sistemas afectados, revocó sesiones, rotó credenciales de los repositorios impactados y restringió temporalmente flujos de despliegue de código.

El ataque no empezó en OpenAI. De acuerdo con el post-mortem de TanStack, el 11 de mayo de 2026, entre las 19:20 y 19:26 UTC, un atacante publicó 84 versiones maliciosas en 42 paquetes @tanstack/ de npm*. El proyecto señaló que un investigador externo detectó la actividad unos 20 minutos después.

Un ataque de cadena de suministro de software es una intrusión que compromete una herramienta, dependencia o proveedor usado por otras organizaciones para distribuir malware o robar credenciales desde un punto confiable del ecosistema.

Qué robó el malware y qué no confirmó OpenAI

OpenAI observó actividad compatible con el comportamiento público del malware: acceso no autorizado y exfiltración enfocada en credenciales dentro de un subconjunto limitado de repositorios internos a los que tenían acceso los dos empleados afectados.

La compañía dijo que el material robado fue limitado, pero esos repositorios contenían certificados digitales usados para firmar productos de OpenAI. Por eso, la empresa inició una rotación preventiva de certificados de firma de código.

Los puntos clave del caso son claros:

• Dos dispositivos de empleados en el entorno corporativo de OpenAI fueron impactados.
• La compañía detectó exfiltración limitada de credenciales en repositorios internos.
• OpenAI dijo que no vio evidencia de impacto en datos de clientes, propiedad intelectual o sistemas de producción.
• Los repositorios afectados incluían certificados de firma para productos en iOS, macOS y Windows.
• OpenAI aseguró que no encontró software malicioso firmado con sus certificados.
• Los usuarios de macOS deberán actualizar sus apps de OpenAI antes del 12 de junio de 2026.
• Los usuarios de Windows e iOS no necesitan tomar acción, según la compañía.

"Confirmamos que solo se exfiltró material limitado de credenciales desde estos repositorios de código y que ninguna otra información o código fue afectado."

OpenAI también dijo que revisó sus procesos de notarización y que no encontró firmas inesperadas de software con las llaves anteriores. La empresa añadió que sus aplicaciones publicadas no muestran modificaciones no autorizadas.

"No hemos encontrado evidencia de compromiso o riesgo para instalaciones de software existentes."

Por qué los usuarios de Mac sí tienen que actualizar

La parte práctica del incidente está en macOS. OpenAI informó que actualizará sus certificados de seguridad y que los usuarios de Mac deberán instalar las versiones más recientes de sus apps antes del 12 de junio de 2026.

A partir de esa fecha, las apps firmadas con el certificado anterior podrían dejar de recibir soporte, actualizaciones o incluso fallar al abrir en macOS por las protecciones de seguridad de Apple. OpenAI identificó estas últimas versiones firmadas con el certificado anterior:

• ChatGPT Desktop: 1.2026.125
• Codex App: 26.506.31421
• Codex CLI: 0.130.0
• Atlas: 1.2026.119.1

La recomendación de OpenAI es actualizar desde la app o desde sus páginas oficiales. La compañía pidió no instalar supuestos instaladores de OpenAI, ChatGPT o Codex enviados por email, mensajes, anuncios, chats, enlaces de archivos o sitios de descarga de terceros.

Mini Shai-Hulud: el ataque que brincó entre paquetes open source

El incidente forma parte de una campaña más amplia conocida como Mini Shai-Hulud, que afectó paquetes de npm y PyPI vinculados con proyectos como TanStack, Mistral AI, UiPath y OpenSearch.

TanStack explicó que el atacante combinó fallas en flujos de GitHub Actions, envenenamiento de caché y extracción de tokens OIDC desde memoria para publicar paquetes maliciosos mediante el flujo legítimo de release. El malware buscaba credenciales de servicios como AWS, GCP, Kubernetes, Vault, GitHub, npm y llaves SSH.

El detalle técnico más delicado es que el malware no solo robaba credenciales: también intentaba autopropagarse. TanStack reportó que el payload podía enumerar otros paquetes mantenidos por la víctima y republicarlos con la misma inyección maliciosa.

OpenAI no atribuyó públicamente el ataque a un grupo específico. TechCrunch reportó que incidentes recientes de cadena de suministro han sido vinculados en algunos casos con grupos distintos, incluido TeamPCP, pero en este caso la autoría no está clara.

La lección para las empresas no es cómoda: las defensas internas pueden funcionar y aun así recibir presión desde el ecosistema open source que alimenta sus herramientas de desarrollo. En esta ocasión, OpenAI contuvo el impacto antes de que llegara a usuarios o producción; el golpe real quedó en la confianza sobre cómo se validan las dependencias que entran al pipeline.

Fuentes: 1, 2, 3, 4, 5, 6