OpenAI ha confirmado que dos dispositivos de empleados quedaron afectados por el ataque “Mini Shai-Hulud” contra la cadena de suministro de TanStack. La compañía sostiene que solo se extrajo material limitado de credenciales desde repositorios internos y que no hubo impacto en datos de clientes ni en su propiedad intelectual.
El caso importa por el tipo de información que buscaba el malware: credenciales de desarrollador, secretos en la nube y claves SSH. También porque el ataque se propagó a través de 84 versiones comprometidas del paquete npm de TanStack, un movimiento con alcance potencial mucho mayor que el incidente detectado dentro de OpenAI.
Qué afectó exactamente al entorno de OpenAI
La compañía explica que vio actividad compatible con el comportamiento descrito públicamente para el malware, incluida acceso no autorizado y exfiltración centrada en credenciales. Ese movimiento se limitó a un conjunto reducido de repositorios de código interno a los que podían acceder los dos empleados afectados.
- Dos dispositivos de empleados quedaron comprometidos.
- Solo se extrajo material limitado de credenciales.
- No se vieron afectados otros datos ni código.
- No hay evidencia de uso indebido de credenciales ni de acceso posterior.
Tras detectar el incidente, OpenAI aisló los sistemas e identidades afectados, revocó sesiones y rotó todas las credenciales. También restringió temporalmente los flujos de despliegue de código mientras revisaba el alcance del ataque.
Las firmas de código obligan a actualizar en macOS
Entre los repositorios afectados había certificados de firma para productos de OpenAI en iOS, macOS y Windows. Eso obligó a la compañía a rotar los certificados de firma de código como medida preventiva. El resultado práctico es claro: los usuarios de macOS tendrán que actualizar sus aplicaciones.
En Windows e iOS, en cambio, OpenAI no pide ninguna acción. La compañía dice que no tiene constancia de que el ataque haya tocado datos de clientes, código sensible o uso posterior de credenciales. La diferencia entre el alcance del ataque y el impacto real es la parte más relevante del caso.
El episodio llega en un momento en el que OpenAI sigue ampliando frentes técnicos y comerciales —como vimos en nuestra cobertura sobre el acuerdo multicloud con Microsoft—, pero aquí el foco está en la seguridad de su entorno de desarrollo y en el riesgo que entraña una cadena de suministro contaminada. TanStack, por su parte, suma más de cuatro mil millones de descargas acumuladas y supera los 177 millones de descargas semanales en su ecosistema.
Puedes seguir a HardwarePremium en Facebook, Twitter (X), Instagram, Threads, BlueSky o Youtube. También puedes consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.
FAQ
OpenAI confirma que dos dispositivos de empleados quedaron afectados por el ataque “Mini Shai-Hulud”. La compañía dice que solo se extrajo material limitado de credenciales desde repositorios internos.
No. OpenAI afirma que no hay evidencia de impacto en datos de clientes, ni en propiedad intelectual, ni en uso posterior de credenciales comprometidas.
OpenAI indica que los usuarios de macOS tendrán que actualizar sus aplicaciones. La rotación de certificados de firma de código obliga a distribuir nuevas versiones.
Según OpenAI, Windows e iOS no requieren ninguna acción por parte de los usuarios. La compañía solo ha pedido actualización en macOS como medida preventiva.
