OpenAI, popüler açık kaynak kütüphane TanStack üzerinden gerçekleştirilen bir tedarik zinciri saldırısını resmen doğruladı. Saldırı, 11 Mayıs 2026 tarihinde gerçekleşti ve hackerlar 84 farklı kötü amaçlı yazılım sürümünü 42 TanStack paketine hızla dağıttı. Bu malicious versiyonlar, geliştiricilerin cihazlarından kimlik bilgilerini çalmak ve yayılmak üzere tasarlanmıştı.
OpenAI’nin açıklamasına göre saldırı, iki çalışanın kurumsal ortamındaki cihazlarını etkiledi. Ancak kullanıcı verilerine, üretim sistemlerine veya fikri mülkiyet varlıklarına herhangi bir erişim sağlanmadı. Şirket, saldırıyı hızlı bir şekilde tespit ederek hasarı minimumda tuttu. Saldırı, dış bir araştırmacı tarafından yaklaşık 20 dakika içinde fark edildi ve OpenAI’nin kendi sistemlerinde de benzer hızlı müdahale gerçekleşti.
Saldırganlar, etkilenen çalışanların erişim haklarına sahip olduğu sınırlı sayıda dahili kod deposuna sızmayı başardı ve bazı kimlik bilgilerini exfiltre etti. Bunun dışında başka bir kod veya bilgi ele geçirilmedi. OpenAI, önlem olarak kod imzalama sertifikalarını yeniledi. Özellikle macOS kullanıcılarının ChatGPT ve diğer OpenAI uygulamalarını güncellemesi gerekiyor; aksi takdirde 12 Haziran 2026’dan sonra uygulamalarda sorun yaşanabilir.
Bu olay, Mini Shai-Hulud adlı daha geniş bir kampanyanın parçası olarak görülüyor. Saldırganlar, GitHub Actions iş akışlarındaki güvenlik açıklarını kullanarak popüler paketleri ele geçirmiş ve self-propagating (kendi kendine yayılan) bir solucan türü kötü yazılım yaymıştı. TanStack gibi milyonlarca indirmeye sahip kütüphanelerin hedef alınması, açık kaynak ekosistemindeki tedarik zinciri risklerini bir kez daha gözler önüne seriyor.
OpenAI, ChatGPT hizmetlerinin tamamen normal şekilde çalıştığını ve hiçbir kullanıcı bilgisinin etkilenmediğini vurgulayarak herkesi temin etti. Şirket, olayın ardından güvenlik önlemlerini gözden geçirerek benzer tehditlere karşı daha güçlü savunma mekanizmaları geliştireceğini belirtti.
Bu tür saldırılar, yazılım geliştirme sürecinin her aşamasında dikkatli olunması gerektiğini hatırlatıyor. Geliştiriciler ve şirketler, bağımlılıkları düzenli olarak taramalı, imzaları doğrulamalı ve güncellemeleri dikkatle uygulamalıdır. OpenAI’nin hızlı ve şeffaf müdahalesi, olası hasarın önlenmesinde kritik rol oynadı.
