OpenAI vừa tiết lộ rằng hai thiết bị của nhân viên trong môi trường doanh nghiệp của họ đã bị ảnh hưởng thông qua cuộc tấn công chuỗi cung ứng Mini Shai-Hulud nhắm vào TanStack. Tuy nhiên, công ty nhấn mạnh rằng không có dữ liệu người dùng, hệ thống sản xuất hay sở hữu trí tuệ nào bị xâm phạm hoặc sửa đổi trái phép.
"Ngay sau khi xác định được hoạt động độc hại, chúng tôi đã nhanh chóng điều tra, ngăn chặn và thực hiện các bước để bảo vệ hệ thống của mình," OpenAI cho biết. "Chúng tôi đã quan sát thấy hoạt động nhất quán với hành vi đã được mô tả công khai của mã độc, bao gồm truy cập trái phép và hoạt động đánh cắp thông tin xác thực (credential) trong một tập hợp nhỏ các kho lưu trữ mã nguồn nội bộ mà hai nhân viên bị ảnh hưởng có quyền truy cập."
Công ty khởi nghiệp trí tuệ nhân tạo (AI) này cho biết chỉ có một lượng hạn chế tài liệu xác thực được chuyển đi thành công từ các kho mã này, và không có thông tin hay mã nguồn nào khác bị ảnh hưởng.
Các biện pháp ứng phó và khắc phục
Sau khi được cảnh báo về hoạt động này, OpenAI cho biết họ đã cô lập các hệ thống và danh tính bị ảnh hưởng, thu hồi các phiên làm việc của người dùng, thay đổi (rotate) tất cả thông tin xác thực trên các kho lưu trữ bị ảnh hưởng, tạm thời hạn chế quy trình triển khai mã (code-deployment workflows) và kiểm tra hành vi của người dùng cũng như thông tin xác thực.
Vì các kho lưu trữ bị ảnh hưởng bao gồm các chứng chỉ ký mã (signing certificates) cho các sản phẩm iOS, macOS và Windows, công ty đã thực hiện bước thu hồi các chứng chỉ cũ và cấp mới. Do đó, người dùng macOS của ChatGPT Desktop, Codex App, Codex CLI và Atlas được yêu cầu cập nhật ứng dụng của họ lên phiên bản mới nhất.
"Điều này giúp ngăn chặn mọi rủi ro, dù khó xảy ra, về việc ai đó cố gắng phân phối một ứng dụng giả mạo trông giống như của OpenAI," OpenAI cho biết. "Người dùng không cần thực hiện bất kỳ hành động nào đối với các ứng dụng Windows và iOS."
Các chứng chỉ dự kiến sẽ bị thu hồi vào ngày 12 tháng 6 năm 2026. Sau thời điểm đó, các lượt tải xuống và khởi chạy ứng dụng mới được ký bằng chứng chỉ cũ sẽ bị chặn bởi các tính năng bảo vệ tích hợp của macOS. Người dùng được khuyến nghị áp dụng các bản cập nhật trước thời hạn để được bảo vệ tối ưu.
Đây là lần thứ hai OpenAI phải thay đổi chứng chỉ ký mã cho macOS chỉ trong vòng hai tháng. Vào khoảng giữa tháng 4 năm 2026, họ đã thay đổi các chứng chỉ sau khi một quy trình GitHub Actions được sử dụng để ký các ứng dụng macOS đã dẫn đến việc tải xuống thư viện Axios độc hại vào ngày 31 tháng 3, vốn đã bị xâm nhập bởi một nhóm tin tặc Triều Tiên có tên là UNC1069.
Sự thay đổi trong bối cảnh đe dọa
"Sự cố này phản ánh một sự thay đổi rộng lớn hơn trong bối cảnh đe dọa: những kẻ tấn công ngày càng nhắm mục tiêu vào các phụ thuộc phần mềm dùng chung và công cụ phát triển hơn là bất kỳ một công ty đơn lẻ nào," OpenAI nhận định.
Phần mềm hiện đại được xây dựng trên một hệ sinh thái đan xen chặt chẽ của các thư viện mã nguồn mở, trình quản lý gói và cơ sở hạ tầng tích hợp liên tục/triển khai liên tục (CI/CD). Điều này có nghĩa là một lỗ hổng được đưa vào từ thượng nguồn có thể lan truyền rộng rãi và nhanh chóng qua nhiều tổ chức.
Diễn biến này xảy ra ngay sau khi nhóm TeamPCP tuyên bố có thêm một số nạn nhân mới, xâm nhập hàng trăm gói liên quan đến TanStack, UiPath, Mistral AI, OpenSearch và Guardrails AI như một phần của chiến dịch tấn công chuỗi cung ứng đang diễn ra, nhằm đẩy mã độc đến các nhà phát triển hạ nguồn và đánh cắp thông tin xác thực từ hệ thống của họ.
"Để làm rõ, không có người duy trì (maintainer) nào bị lừa đảo (phished), bị rò rỉ mật khẩu hay bị đánh cắp token từ tài khoản của họ," TanStack cho biết. "Kẻ tấn công đã dàn dựng một con đường mà tại đó quy trình CI của chính chúng tôi đã đánh cắp token phát hành cho chúng, ngay tại thời điểm nó được tạo ra, thông qua một bộ nhớ đệm (cache) mà mọi người trong chuỗi đều tin tưởng một cách mặc nhiên. Đây là một cách tiếp cận tinh vi mà chúng tôi chưa lường trước được."
Chiến dịch của TeamPCP và các mục tiêu tiếp theo
TeamPCP kể từ đó đã thông báo về một cuộc thi tấn công chuỗi cung ứng hợp tác với diễn đàn tội phạm mạng Breached, cung cấp cho những người tham gia 1.000 USD bằng tiền điện tử Monero để xâm nhập các gói mã nguồn mở bằng worm Shai-Hulud. Nhóm tin tặc này cũng đe dọa rò rỉ khoảng 5GB mã nguồn nội bộ từ Mistral AI, yêu cầu mức giá 25.000 USD BIN từ những người mua tiềm năng.
Trong một thông báo cập nhật, Mistral AI đã xác nhận họ bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng do sự xâm nhập của TanStack, dẫn đến việc phát hành các phiên bản bị chèn mã độc (trojanized) của các SDK npm và PyPI. Họ cũng cho biết một thiết bị của nhà phát triển đã bị ảnh hưởng, nhưng không có bằng chứng cho thấy cơ sở hạ tầng của họ bị xâm phạm.
Cơ chế dự phòng FIRESCALE và C2
Một phân tích sâu hơn về bộ công cụ Python được phân phối tới các hệ thống Linux qua các gói guardrails-ai và mistralai đã tiết lộ rằng địa chỉ máy chủ điều khiển (C2) chính ("83.142.209[.]194") được mã hóa cứng. Trong trường hợp máy chủ C2 chính không thể truy cập được, một cơ chế dự phòng có tên FIRESCALE sẽ được kích hoạt.
"Khi C2 chính không khả dụng, mã độc sẽ tìm kiếm tất cả các thông điệp commit công khai trên GitHub trên toàn thế giới để tìm một URL máy chủ thay thế đã được ký, xác minh bằng khóa RSA 4096-bit được nhúng sẵn," Hunt.io cho biết. "Việc đánh cắp dữ liệu diễn ra qua ba con đường theo thứ tự: máy chủ C2 chính, chuyển hướng dead-drop của FIRESCALE và chính kho lưu trữ GitHub của nạn nhân."
Công ty an ninh mạng này cũng tiết lộ rằng mô-đun thu thập thông tin xác thực Amazon Web Services (AWS) bao gồm tất cả 19 vùng sẵn dùng (availability zones), bao gồm cả us-gov-east-1 và us-gov-west-1 (AWS GovCloud), vốn chỉ dành riêng cho các cơ quan chính phủ và nhà thầu quốc phòng Hoa Kỳ.
Hành vi phá hoại có mục tiêu
Một khía cạnh bất thường khác của chiến dịch là hành vi phá hoại. Trên các máy tính được định vị địa lý tại Israel hoặc Iran, một cổng xác suất 1/6 sẽ kích hoạt việc phát âm thanh ở mức âm lượng tối đa, sau đó là xóa tất cả các tệp có thể truy cập. Mã độc này sẽ tự thoát nếu phát hiện hệ thống đang sử dụng ngôn ngữ (locale) là tiếng Nga.
Các hành động phá hoại nhắm vào các khu vực địa lý cụ thể này tương tự như "kamikaze" wiper mà TeamPCP đã tung ra nhắm vào các cụm Kubernetes tại Iran trước đây. Những hành vi lặp đi lặp lại này cho thấy đây là một hoạt động có chủ đích hơn là mang tính cơ hội.
"Bộ công cụ này có khả năng hơn, kiên cường hơn và tinh vi hơn," Hunt.io nhận định. "Ngoài các tệp thông tin xác thực, mã độc còn thu thập mọi biến môi trường trên máy, đọc tất cả các khóa SSH và cấu hình, quét toàn bộ thư mục người dùng để tìm các tệp .env và lấy thông tin xác thực từ các container Docker đang chạy."
