TanStack npm サプライチェーン攻撃:OpenAI が受けた侵害の内容と背景

OpenAI Confirms Security Breach Via TanStack npm Supply Chain Attack

2026/05/15 CyberSecurityNews — TanStack npm を標的とする大規模なソフトウェア・サプライチェーン攻撃により、OpenAI の従業員端末 2 台が侵害された。同社は、ユーザーデータ/本番システム/知的財産への影響はなかったと確認している。2026年5月11日 (UTC) に、脅威アクターは Mini Shai-Hulud と呼ばれるキャンペーンを開始した。それは、TeamPCP 恐喝グループによりオーケストレーションされる協調的なサプライチェーン攻撃である。

GitHub Actions ワークフローおよび CI/CD コンフィグの脆弱性を悪用する攻撃者は、広く利用されるオープンソース JavaScript ライブラリである TanStack に悪意のコードを注入した。

これにより、TanStack の正規リリース・パイプラインを通じて、悪意のパッケージバージョンが公開され、完全に信頼できるものとして利用側システムが認識する事態が生じた。

OpenAI セキュリティ侵害の確認

OpenAI の企業環境に侵害されたパッケージが取り込まれ、その結果として、従業員のワークステーション 2 台が感染した。

サードパーティであるセキュリティ企業の支援を受けた OpenAI の調査によると、影響を受けた従業員 2 名がアクセス可能であった、内部ソースコード・リポジトリの一部において、クレデンシャルを標的とする侵害活動が確認された。

ただし、侵害されたのは限定的なクレデンシャル情報のみであり、顧客データ/知的財産/本番コードの窃取や改竄は確認されていない。

重要な点として挙げられるのは、影響を受けたリポジトリに iOS/macOS/Windows/Android 向け OpenAI 製品のコード署名証明書が含まれていたことだ。それらの証明書の悪用は確認されていないが、予防措置として、すべての署名証明書がローテーションされている。

OpenAI は、不正活動の検知後に、迅速に対応した。

  • 影響を受けたシステムおよび ID の隔離
  • 影響アカウントの全アクティブ・セッションの無効化
  • 影響リポジトリ全体での認証情報のローテーション
  • コード・デプロイメント・ワークフローの一時的な制限
  • サードパーティであるインシデント・レスポンス企業の関与
  • プラットフォーム・プロバイダーとの連携による、古い証明書による新規公証のブロック

侵害されたリポジトリには、macOS 用のコード署名証明書が含まれていた。したがって、すべての macOS ユーザーは、2026年6月12日 までに OpenAI アプリの更新が必要である。

対象アプリケーションは以下の通りである。

  • ChatGPT Desktop (最終バージョン: 1.2026.125)
  • Codex App (26.506.31421)
  • Codex CLI (0.130.0)
  • Atlas (1.2026.119.1)

2026年6月12日 以降において、旧証明書で署名されたアプリは、Apple の macOS セキュリティ機構により起動および更新がブロックされる。なお、Windows/iOS ユーザーは対応不要である。

Mac ユーザーは、アプリ内更新または OpenAI 公式ページからの更新を取得すべきである。サードパーティ・ダウンロードサイト/電子メールリンク/不審なインストーラは使用してはならない。

Mini Shai-Hulud キャンペーンの影響は、OpenAI に留まらない。Mistral AI/UiPath/Guardrails AI/OpenSearch などの複数プロジェクトにおいて、数百の npm および PyPI パッケージが侵害された。

このマルウェアは、開発者とクラウドの認証情報である、GitHub トークン/npm パブリッシュ・トークン/AWS クレデンシャル/Kubernetes シークレット/SSH キー/.env ファイルなどを標的としている。この手法が示すのは、現代の DevOps 環境で日常的に使用されるツール自体を武器化する攻撃である。

以前にも、OpenAI は Axios developer tool の侵害を経験している。その後に同社は、ハードニングされた CI/CD パイプライン制御や、minimumReleaseAge などのセキュリティ制約を含む、パッケージ管理コンフィグを導入してきた。しかし、侵害された 2 台の端末では、これら更新コンフィグが未適用であり、そのギャップが攻撃者に悪用された。

このインシデントが示すのは、現代のソフトウェア・サプライチェーン自体が、攻撃対象であるという業界の現実である。相互に深く依存するオープンソース・エコシステム上で構築される開発環境においては、単一の上流侵害が、数時間以内に数百の下流環境へと静かに伝播する可能性がある。

訳者後書;OpenAI の従業員端末が感染した、TanStack ライブラリを発信源とするサプライチェーン攻撃を解説する記事です。問題の原因は、開発自動化フロー (GitHub Actions) の欠陥が突かれ、 正規の公開ルートから悪意のコード入りのパッケージが配信されてしまったことにあります。 また、感染した端末側では、事前に用意されていた最新のパッケージ管理ルールが未適用だったギャップが突かれました。本番システムへの侵害はありませんでしたが、予防措置として Mac 用アプリの署名証明書が刷新されています。したがって、ユーザーは 2026年 6月 12日までに最新版へ更新する必要があります。