Aggiornamento di sicurezza OpenAI macOS: rilasciata patch urgente dopo un attacco alla supply-chain

OpenAI ha rilasciato un aggiornamento di sicurezza urgente per le sue applicazioni macOS a seguito di un attacco alla supply-chain che ha compromesso i certificati interni di firma del codice. La violazione, soprannominata attacco Mini Shai-Hulud, ha preso di mira la libreria npm TanStack e ha permesso ai threat actor di accedere a due dispositivi dei dipendenti. Gli utenti delle app ChatGPT Desktop e Codex su macOS devono installare le versioni più recenti entro il 12 giugno 2026 per garantire la continuità delle funzionalità e della sicurezza.

L'incidente di sicurezza è iniziato quando gli aggressori identificati come TeamPCP hanno distribuito 84 pacchetti trojanizzati all'interno del registro npm. Questi pacchetti malevoli sono stati progettati per rubare credenziali di sviluppatori e token interni di aziende coinvolte nell'infrastruttura AI. OpenAI ha confermato che, sebbene gli aggressori siano riusciti a esfiltrare i certificati di firma del codice, nessun dato dei clienti o sistema di produzione è stato colpito dalla violazione. L'azienda sta ora ruotando tutte le chiavi e i certificati interessati come misura preventiva.

Questa vulnerabilità fa parte di un exploit più ampio tracciato come CVE-2026-45321, che presenta un punteggio CVSS di alta gravità pari a 9.6. Oltre a OpenAI, anche altre importanti aziende di AI, tra cui Mistral AI e UiPath, sono state prese di mira nella campagna. Il codice malevolo ha permesso ai threat actor di monitorare l'attività interna sui dispositivi compromessi prima che l'intrusione venisse rilevata e mitigata.

Per gli utenti macOS, l'aggiornamento di sicurezza OpenAI macOS è obbligatorio perché il sistema di sicurezza Gatekeeper di Apple bloccherà le versioni precedenti delle app una volta revocati i certificati compromessi. OpenAI ha dichiarato che sta ruotando i certificati sulle piattaforme macOS, iOS e Android, sebbene l'impatto principale per gli utenti finali sia attualmente focalizzato sull'esperienza desktop. Gli utenti Windows risultano meno interessati da questa specifica rotazione dei certificati.

Per mantenere l'accesso agli strumenti AI, gli utenti devono verificare la presenza di aggiornamenti all'interno dell'app ChatGPT o scaricare l'ultima versione direttamente dal sito ufficiale. Il mancato aggiornamento entro la scadenza del 12 giugno comporterà l'impossibilità di avviare l'applicazione sui dispositivi macOS. OpenAI continua a monitorare i propri sistemi interni per prevenire ulteriori accessi non autorizzati a seguito della bonifica delle librerie di sviluppo trojanizzate.

Sebbene ci impegniamo per l'accuratezza, bytevyte può commettere errori. Si consiglia agli utenti di verificare tutte le informazioni in modo indipendente. Non accettiamo alcuna responsabilità per errori o omissioni.

Related Articles

• Oracle adotta il Monthly Security Patching per combattere le minacce informatiche basate sull'IA
• Rafforzare la OpenAI developer tool security: patch per Axios e integrazione con Ticketmaster
• OpenAI Daybreak lancia GPT-5.5-Cyber per automatizzare la difesa aziendale

✔Human Verified