OpenAI reveló que dos de los dispositivos de sus empleados en su entorno corporativo se vieron afectados por el ataque a la cadena de suministro de Mini Shai-Hulud en TanStack, pero dijo que ningún dato de usuario, sistemas de producción o propiedad intelectual se vio comprometido o modificado de manera no autorizada.
«Una vez que identificamos la actividad maliciosa, rápidamente tomamos medidas para investigar, contener y proteger nuestros sistemas», dijo OpenAI en un comunicado. «Observamos actividad consistente con el comportamiento del malware publicado, incluido el acceso no autorizado y la actividad de robo centrada en credenciales, en un subconjunto limitado de repositorios de código fuente internos a los que accedieron los dos empleados afectados».
La startup de inteligencia artificial (IA) agregó que solo se transfirieron con éxito credenciales limitadas desde estos repositorios de código y ninguna otra información o código se vio afectado.
OpenAI dijo que después de ser alertado sobre esta actividad, aisló los sistemas y las identidades afectados, revocó las sesiones de los usuarios, rotó todas las credenciales entre los repositorios afectados, restringió temporalmente los flujos de trabajo de implementación de código y auditó el comportamiento de los usuarios y las credenciales.
Debido a que los repositorios afectados contenían certificados de firma para productos iOS, macOS y Windows, la empresa tomó medidas para revocar los certificados y emitir otros nuevos. Por lo tanto, los usuarios de macOS de ChatGPT Desktop, Codex App, Codex CLI y Atlas deben actualizar sus aplicaciones a las últimas versiones.
«Esto protege contra el improbable riesgo de que alguien intente distribuir una aplicación falsa que parece ser de OpenAI», dijo OpenAI. «Los usuarios no necesitan realizar ninguna acción para las aplicaciones de Windows e iOS».
Está previsto que el certificado caduque el 12 de junio de 2026, después de lo cual las protecciones integradas de macOS bloquearán las nuevas descargas y lanzamientos de aplicaciones firmadas con el certificado anterior. Por lo tanto, para una protección óptima, se recomienda a los usuarios que apliquen las actualizaciones antes de la fecha límite.
Esta es la segunda vez en los últimos meses que OpenAI rota su certificado de firma de código macOS. La compañía rotó los certificados a mediados de abril de 2026 después de que un flujo de trabajo de GitHub Actions utilizado para firmar aplicaciones macOS descargara la biblioteca maliciosa Axios el 31 de marzo. Esta biblioteca fue comprometida por un grupo de hackers norcoreano llamado UNC1069.
«Este incidente refleja un cambio más amplio en el panorama de amenazas, con atacantes apuntando cada vez más a dependencias de software y herramientas de desarrollo compartidas en lugar de empresas individuales», dijo OpenAI en un comunicado.
«El software moderno se basa en un ecosistema profundamente interconectado de bibliotecas de código abierto, administradores de paquetes e infraestructura de integración y despliegue continuos. Esto significa que las vulnerabilidades introducidas en sentido ascendente pueden propagarse amplia y rápidamente en toda una organización».
Este desarrollo se produce inmediatamente después de que TeamPCP comprometiera cientos de paquetes relacionados con TanStack, UiPath, Mistral AI, OpenSearch y Guardrails AI, lo que resultó en una serie de nuevas víctimas como parte de una campaña de ataque a la cadena de suministro en curso destinada a entregar malware a los desarrolladores posteriores, robar credenciales de sus sistemas y ampliar aún más el alcance de la infracción.
«Para que quede claro, los mantenedores nunca han sido objeto de phishing, contraseñas comprometidas o tokens robados de sus cuentas», dijo TanStack. «El atacante pudo diseñar una ruta para que nuestro canal de CI patentado robara sus propios tokens emitidos a través de un caché en el que todos los miembros de la cadena confiaban implícitamente. Esto es algo que nos tomamos muy en serio».
TeamPCP luego anunció un concurso de ataque a la cadena de suministro en asociación con Breached Cybercrime, ofreciendo a los participantes $1,000 en Monero para comprometer paquetes de código abierto utilizando el gusano Shai-Hulud, que la compañía está poniendo a disposición de otros de forma gratuita. El grupo de hackers también amenaza con filtrar alrededor de 5 GB de código fuente interno de Mistral AI y exige un BIN de 25.000 dólares a los compradores potenciales.
«Estamos buscando BIN de $25,000, o pueden pagar esto, y los destruiremos para siempre, los venderemos solo a la mejor oferta y lo limitaremos a una persona. Si no encontramos un comprador dentro de una semana, filtraremos todo esto de forma gratuita en los foros», dijo TeamPCP en una publicación.
En un aviso actualizado, Mistral AI reconoció que se vio afectada por un ataque a la cadena de suministro causado por la violación de TanStac, que llevó al lanzamiento de versiones troyanizadas de sus SDK npm y PyPI. También dijo que un solo dispositivo de desarrollador se vio afectado por el ataque. No hay evidencia de que su infraestructura estuviera comprometida.
Después de un análisis detallado del kit de herramientas modular Python proporcionado a los sistemas Linux a través de los paquetes Guardrails-ai y Mistralai, descubrimos que la dirección del servidor de comando y control principal (C2) (‘83.142.209(.)194’) está codificada. Si el C2 primario se vuelve inalcanzable, se activa un mecanismo de respaldo llamado FIRESCALE.
«Si el C2 principal no está disponible, el malware busca en todos los mensajes públicos de confirmación de GitHub en todo el mundo una URL de servidor firmada alternativa que se verifica con una clave RSA integrada de 4096 bits», dijo Hunt.io. «El robo sigue tres caminos en secuencia: el servidor C2 principal, la redirección muerta de FIRESCALE y el propio repositorio GitHub de la víctima. Si bloquea un nivel, los otros dos permanecen intactos».
La compañía también reveló que el módulo de recopilación responsable de recopilar las credenciales de Amazon Web Services (AWS) cubre las 19 zonas de disponibilidad en su lista de objetivos, incluidas us-gov-east-1 (AWS GovCloud – US East) y us-gov-west-1 (AWS GovCloud – US West), que se limitan a agencias gubernamentales y contratistas de defensa de EE. UU.
Otro aspecto inusual de esta campaña es el comportamiento destructivo que la acompaña. En máquinas ubicadas geográficamente en Israel o Irán, una puerta de probabilidad de 1 en 6 activa la reproducción de audio al volumen máximo, después de lo cual se eliminan todos los archivos accesibles. Este malware existe en sistemas con configuración regional rusa.
El ataque a regiones geográficas específicas refleja el limpiador «kamikaze» que TeamPCP desató en los clústeres de Kubernetes con sede en Irán en relación con un ataque anterior a la cadena de suministro que distribuyó un gusano autorreplicante conocido como CanisterWorm. Estas acciones repetidas indican una operación más deliberada que oportunista.
«Este conjunto de herramientas es más capaz, más resistente y más sofisticado», afirmó Hunt.io. «Más allá del archivo de credenciales, el malware captura todas las variables de entorno en la máquina, lee todas las claves y configuraciones SSH, busca archivos dotenv en todo el directorio de inicio y recupera las credenciales de los contenedores Docker en ejecución».
Source link
