← semua berita

OpenAI: kompromi paket TanStack menyentuh dua perangkat internal

AI · · · sumber (openai.com)

OpenAI menerbitkan catatan pasca insiden terkait kompromi TanStack pada 11 Mei, library npm yang dipakai luas, sebagai bagian dari serangan supply chain yang lebih besar bernama Mini Shai-Hulud. Dua perangkat karyawan di lingkungan korporat OpenAI ikut terdampak. Perusahaan menyebut mereka mengamati perilaku yang konsisten dengan deskripsi publik malware tersebut, termasuk aktivitas eksfiltrasi credential pada sebagian kecil repository source code internal yang diakses oleh kedua engineer itu. Menurut catatan, hanya material credential yang terbatas yang keluar, dan tidak ada bukti data pengguna, sistem produksi, kekayaan intelektual, atau software yang dirilis ikut tersentuh.

Penanganannya mengikuti pola insiden yang lazim. OpenAI memakai pihak ketiga untuk forensik digital dan incident response, mengisolasi perangkat yang terdampak, lalu menjalani pembersihan yang dipaksakan oleh kompromi seperti ini. Bagian yang menyentuh pengguna adalah pembaruan sertifikat. OpenAI memutar sertifikat code-signing-nya, jadi pengguna macOS harus naik ke versi terbaru aplikasi desktop. Versi lama berhenti menerima update dan dukungan per 12 Juni 2026.

Pengumuman ini minim detail teknis baru, tapi tidak biasa karena eksplisit. Kebanyakan perusahaan yang kena serangan npm gaya TanStack tidak mengatakannya terbuka dengan lingkup dan tanggal yang disebut. Karena itu, catatan ini berguna sebagai referensi buat tim lain yang menulis laporan insiden internal.

Kenapa ini penting

Kalau stack kamu memakai TanStack atau dependensinya secara transitif, anggap ini dorongan untuk mengaudit mesin developer mana yang mungkin terekspos di sekitar tanggal 11 Mei dan memutar semua token yang sempat tersimpan di sana. Pelajaran yang lebih luas: satu paket npm populer yang dikompromikan sekarang sudah menyentuh lab AI dan repo source code mereka langsung, jadi rantai kepercayaan npm adalah bagian dari postur keamanan AI kamu, mau dilihat seperti itu atau tidak.

OpenAISecurity