Worm Mini Shai-Hulud atinge npm e força OpenAI a re-assinar aplicativos para Windows, macOS, iOS e Android
Um ataque ao pipeline de release do projeto TanStack comprometeu 84 artefatos em 42 pacotes npm e respingou na OpenAI, que confirmou comprometimento das chaves de assinatura de aplicativos para Windows, macOS, iOS e Android e iniciou o re-lançamento de todos os apps com novos certificados.
Worm Mini Shai-Hulud atinge npm e força OpenAI a re-assinar aplicativos para Windows, macOS, iOS e Android
Um ataque de cadeia de suprimentos contra o ecossistema npm comprometeu 84 artefatos publicados em 42 pacotes do projeto @tanstack em 11 de maio. O incidente, atribuído ao grupo TeamPCP e batizado por pesquisadores como Mini Shai-Hulud, repercutiu na semana seguinte com a OpenAI confirmando que dois dispositivos corporativos foram afetados e que as chaves de assinatura de seus aplicativos para Windows, macOS, iOS e Android estavam entre os ativos comprometidos.
A mecânica do ataque toca diretamente um ponto cego em pipelines modernos. Segundo descrição da própria TanStack, "nosso próprio pipeline de CI roubou seu próprio token de publicação para os atacantes, no exato momento da criação, por meio de um cache em que todo mundo na cadeia confiava implicitamente". O fluxo combinou uma técnica de Pwn Request no GitHub Actions, envenenamento de cache e extração de token OIDC. Os pacotes maliciosos foram publicados pelo pipeline oficial da TanStack, com identidade OIDC legítima, depois que código controlado pelo atacante sequestrou o runner no meio do workflow. Apenas o @tanstack/react-router responde por mais de 12,7 milhões de downloads semanais.
A resposta da OpenAI
Em comunicado oficial, a OpenAI informou ter isolado os sistemas impactados, revogado sessões de usuários, rotacionado credenciais e restringido temporariamente fluxos de deploy de código. A empresa diz não ter encontrado evidência de acesso a dados de usuários, comprometimento de sistemas de produção ou alteração de software. Ainda assim, as chaves de assinatura de aplicativos foram tratadas como queimadas: todos os apps estão sendo re-assinados e relançados com novos certificados nas quatro plataformas afetadas.
Não é o primeiro nem será o último
O grupo TeamPCP é veterano. A StepSecurity atribui ao mesmo ator o comprometimento do scanner Trivy, da Aqua Security, em março de 2026, e do pacote npm da Bitwarden CLI em abril. O padrão é consistente: explorar a confiança implícita nos pipelines de release de projetos open-source amplamente usados em infraestrutura corporativa.
Para CISOs e times de plataforma, o episódio reforça uma agenda que vinha sendo desenhada desde o ataque ao SolarWinds e ganhou novo capítulo no Shai-Hulud original de 2025: assinaturas de pacote precisam ser validadas contra políticas, builds reprodutíveis deixaram de ser luxo, e credenciais OIDC dentro de runners de CI são alvos de alto valor. Reagir é tarde; o trabalho é instrumentar a cadeia antes do próximo episódio.