OpenAI mengonfirmasi dua komputer karyawan terkena dampak serangan rantai pasokan TanStack, pengguna macOS ChatGPT dan Codex wajib memperbarui sebelum 12/6

📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯2059 kata

Pada 11 Mei, kelompok peretas TeamPCP meluncurkan serangan rantai pasokan npm berskala besar dengan menggunakan TanStack sebagai batu loncatan. Dua perangkat karyawan OpenAI terdampak, dan sertifikat penandatanganan kode untuk platform iOS, macOS, dan Windows ikut terpengaruh. Pengguna macOS wajib memperbarui aplikasi sebelum 12 Juni 2026, jika tidak, aplikasi tidak akan dapat dijalankan setelah tanggal tersebut. (Ringkasan sebelumnya: OpenClaw menghadapi krisis ganda! Rantai pasokan axios menyembunyikan pintu belakang beracun, kerentanan MEDIA berdampak pada 170.000 kasus di seluruh dunia) (Informasi latar belakang: Ledger memperingatkan "jangan berinteraksi dengan kontrak on-chain": paket JavaScript NPM diretas, miliaran perangkat berisiko terinfeksi kode berbahaya) Sebuah pustaka sumber terbuka yang tidak diperhatikan oleh siapa pun akhirnya membuat perusahaan AI terbesar di dunia terpapar risiko. Pada dini hari tanggal 12 Mei 2026 waktu Taiwan, kelompok peretas TeamPCP menyelesaikan serangan hanya dalam enam menit: 42 paket npm milik namespace @tanstack diracuni, dan 84 versi berbahaya didorong ke repositori npm. @tanstack/react-router diunduh sekitar 12 juta kali per minggu, dan seluruh serangan berdampak pada lebih dari 170 paket npm dan PyPI, dengan total unduhan melebihi 518 juta kali. Yang terdampak bukan hanya pengembang, tetapi juga lingkungan internal perusahaan AI seperti OpenAI, Mistral AI, dan Guardrails AI. OpenAI mengonfirmasi dalam sebuah pengumuman bahwa dua perangkat karyawan di lingkungan perusahaan terdampak oleh serangan ini. Dalam subset repositori kode terbatas yang dapat diakses oleh kedua karyawan tersebut, penyelidikan menemukan aktivitas yang konsisten dengan perilaku perangkat lunak berbahaya: akses tidak sah dan tindakan kebocoran yang menargetkan kredensial. Untungnya, cakupan pencurian yang dikonfirmasi relatif terbatas: hanya sebagian materi kredensial yang berhasil bocor dari repositori tersebut, sementara kode dan informasi lainnya tidak terpengaruh. Penyelidikan menugaskan perusahaan forensik digital dan respons insiden pihak ketiga untuk melakukan intervensi. Tidak ditemukan bukti bahwa data pelanggan atau kekayaan intelektual terdampak, dan tidak ada tanda-tanda kredensial disalahgunakan atau akses berkelanjutan oleh penyerang setelah kejadian. Namun, masalahnya adalah repositori kode tersebut kebetulan menyimpan sertifikat penandatanganan kode (code signing certificate, secara sederhana adalah stempel resmi yang membuktikan kepada sistem operasi bahwa perangkat lunak ini diterbitkan oleh saya), yang mencakup platform iOS, macOS, dan Windows. Hal ini memicu serangkaian tindakan pencegahan. OpenAI sedang merotasi sertifikat penandatanganan kode untuk semua platform yang terdampak dan menandatangani ulang serta merilis ulang semua aplikasi dengan sertifikat baru. Pengguna Windows dan iOS tidak perlu melakukan tindakan apa pun. Pengguna macOS harus melakukan pembaruan secara aktif. Batas waktunya adalah sebelum 12 Juni 2026. Begitu sertifikat lama dicabut sepenuhnya pada hari itu, mekanisme perlindungan keamanan macOS akan memblokir aplikasi yang ditandatangani dengan sertifikat lama agar tidak dapat diunduh atau dijalankan. Berikut adalah versi terakhir yang ditandatangani dengan sertifikat lama, yang tidak akan berfungsi normal setelah tanggal tersebut: - ChatGPT Desktop 1.2026.125 - Codex App 26.506.31421 - Codex CLI 0.130.0 - Atlas 1.2026.119.1 Pelajaran inti dari insiden ini, seperti yang dikatakan langsung oleh OpenAI: penyerang semakin menargetkan dependensi perangkat lunak dan alat pengembangan bersama, alih-alih perusahaan tunggal mana pun. Perangkat lunak modern dibangun di atas ekosistem pustaka sumber terbuka, manajer paket, dan infrastruktur CI/CD yang saling terhubung secara mendalam—satu kerentanan di hulu dapat menyebar secara luas dan cepat ke seluruh organisasi. Tidak ada yang bisa menjelaskan dengan pasti berapa banyak dependensi seperti TanStack di perusahaan Anda yang "digunakan semua orang, tetapi tidak dikelola siapa pun". Metode TeamPCP membuat insiden ini mencatatkan sejarah dalam keamanan: ini adalah pertama kalinya seseorang berhasil merilis paket berbahaya dengan SLSA Build Level 3 provenance attestations yang valid. Penjelasan mengenai apa artinya ini: SLSA (Supply-chain Levels for Software Artifacts) adalah standar verifikasi keamanan rantai pasokan perangkat lunak yang paling diakui saat ini. Level 3 mengharuskan paket dibuat di lingkungan pembangunan yang dapat direproduksi dan terdokumentasi, serta disertai dengan bukti asal

Status data✓ Teks lengkap telah diambilBaca artikel asli (動區 BlockTempo)

🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset6 berita

2026-05-21

OpenAI Codex resmi hadir di ponsel! Aplikasi ChatGPT kini bisa langsung menulis kode dan meninjau kode program

Tingkat kemiripan 220%關鍵字 codex/chatgpt/openai同分類 zh

2026-05-16

Garis depan penggabungan produk OpenAI! Greg Brockman secara bersamaan mengambil alih ChatGPT, Codex, dan API developer

Tingkat kemiripan 220%關鍵字 codex/chatgpt/openai同分類 zh

2026-05-29

OpenAI meluncurkan terowongan MCP yang aman: memungkinkan ChatGPT terhubung ke jaringan internal perusahaan

Tingkat kemiripan 170%關鍵字 chatgpt/openai同分類 zh

2026-05-15