עדכון חובה ל-ChatGPT בעקבות מתקפת שרשרת אספקה ב-npm!
OpenAI הודיעה כי זיהתה פגיעה מוגבלת הקשורה לספריית TanStack npm במסגרת מתקפת Mini Shai-Hulud. החברה מדגישה כי לא נמצאה עדות לחשיפת מידע משתמשים, אך משתמשי macOS נדרשים לעדכן את אפליקציות ChatGPT, Codex ו-Atlas עד 12 ביוני 2026.
OpenAI: משתמשי macOS נדרשים לעדכן את אפליקציות החברה בעקבות אירוע אבטחה בשרשרת האספקה של npm, כפי שנחשף בפרסום של OpenAI מחודש מאי. לפי החברה, האירוע קשור לפגיעה בספריית הקוד הפתוח TanStack npm, שהייתה חלק ממתקפה רחבה יותר המכונה Mini Shai-Hulud. OpenAI מדגישה כי לא נמצאה עדות לכך שמידע משתמשים, מערכות ייצור או קניין רוחני של החברה נחשפו או נפגעו.
מה קרה במתקפת TanStack npm
רוצה להישאר מעודכן ב-AI?
הירשם לדיוור השבועי שלנו וקבל עדכונים, המלצות על כלים, חדשות ודוחות מיוחדים
על פי הדיווח הרשמי שפרסמה OpenAI, ב-11 במאי 2026 לפי שעון UTC נפרצה ספריית TanStack, אחת מספריות הקוד הפתוח הנפוצות באקוסיסטם של JavaScript ו-npm. מתקפות מסוג זה נחשבות למסוכנות במיוחד משום שהן אינן תוקפות בהכרח את החברה ישירות, אלא רכיבי תוכנה משותפים שבהם משתמשים מפתחים וארגונים רבים. כאשר חבילה זדונית מוחדרת למנהל חבילות פופולרי כמו npm, היא עלולה להגיע במהירות לסביבות פיתוח, מערכות CI/CD ומאגרי קוד פנימיים.
OpenAI מסרה כי שני מכשירי עובדים בסביבה הארגונית שלה הושפעו מהמתקפה. בחקירה שבוצעה, יחד עם חברת פורנזיקה ותגובה לאירועי סייבר מצד שלישי, זוהתה פעילות שתואמת להתנהגות שפורסמה לגבי הנוזקה, לרבות ניסיונות גישה לא מורשית ופעילות שנועדה לאסוף פרטי גישה. החברה מציינת כי הפעילות נגעה לתת-קבוצה מוגבלת של מאגרי קוד פנימיים שאליהם הייתה לעובדים שנפגעו גישה.
אין עדות לפגיעה במשתמשים, אבל יש עדכון חובה למק
לפי OpenAI, רק חומר גישה מוגבל מתוך אותם מאגרי קוד דלף בפועל, ולא זוהתה פגיעה בקוד נוסף או במידע אחר. החברה מסרה כי לא נמצאה עדות לחשיפת נתוני לקוחות, לפגיעה במערכות ייצור, לשימוש לרעה בפרטי הגישה שנחשפו או לגישה המשכית מצד התוקפים.
עם זאת, מאגרי הקוד שהושפעו כללו גם תעודות חתימת קוד עבור מוצרי החברה, כולל iOS, macOS ו-Windows. חתימת קוד היא מנגנון אבטחה מרכזי שמאפשר למערכת ההפעלה לוודא שהתוכנה הגיעה מהמפתח הלגיטימי ולא שונתה בדרך. לכן OpenAI החלה להחליף את תעודות החתימה כאמצעי זהירות, ובמיוחד מבקשת ממשתמשי macOS לעדכן את האפליקציות עד 12 ביוני 2026.
העדכון נוגע לאפליקציות ChatGPT Desktop, Codex App, Codex CLI ו-Atlas במק. החברה ממליצה לבצע את העדכון רק מתוך האפליקציה עצמה או דרך עמודי ההורדה הרשמיים של OpenAI, ולהימנע מהתקנות שמגיעות בקישורים במיילים, בהודעות, בפרסומות או מאתרי הורדות חיצוניים. משתמשי Windows ו-iOS אינם נדרשים לבצע פעולה מיוחדת בשלב זה.
למה OpenAI לא מבטלת את התעודות מיידית
OpenAI מסבירה כי היא פועלת יחד עם ספקיות הפלטפורמה כדי למנוע שימוש לא מורשה בתעודות הישנות, בין היתר באמצעות חסימת אישורי notarization חדשים במק. המשמעות היא שגם אם גורם זדוני ינסה להפיץ אפליקציה מזויפת שנראית כאילו נחתמה על ידי OpenAI, macOS אמורה לחסום אותה כברירת מחדל אם אין לה אישור תקף, אלא אם המשתמש עוקף במפורש את מנגנוני ההגנה.
החברה בחרה שלא לבטל את התעודות באופן מיידי כדי לא לשבש התקנות קיימות ועדכונים לגיטימיים, והעניקה למשתמשים חלון זמן עד 12 ביוני 2026. לאחר תאריך זה, גרסאות ישנות של אפליקציות macOS שנחתמו בתעודה הקודמת עלולות להפסיק לפעול או לא לקבל עוד עדכונים ותמיכה.
איתות רחב יותר לתעשיית התוכנה
האירוע מדגיש את הסיכון הגובר במתקפות שרשרת אספקה, במיוחד בעולם שבו פיתוח מודרני מבוסס על תלות עמוקה בספריות קוד פתוח, מנהלי חבילות ותהליכי פריסה אוטומטיים. OpenAI מציינת כי בעקבות אירועים קודמים היא האיצה פריסה של בקרות אבטחה נוספות, כולל הקשחת ניהול סודות במערכות CI/CD, שימוש בהגדרות מנהלי חבילות כמו minimumReleaseAge, וכלים לאימות מקוריות חבילות חדשות.
המחבר הרשמי של הפרסום הוא OpenAI, והמסר המרכזי ברור: אין סימן לפגיעה במידע משתמשים, אך משתמשי מק צריכים לעדכן את אפליקציות OpenAI בהקדם כדי להבטיח שהן חתומות בתעודות האבטחה החדשות.