Le ver TanStack atteint OpenAI : ses applications macOS à mettre à jour avant le 12 juin

Le ver TanStack a touché les développeurs d'OpenAI — et tous ses certificats de signature macOS

Le 15 mai 2026, OpenAI a publié une note d'incident confirmant l'évidence : deux postes de ses employés ont été compromis dans l'attaque sur la chaîne d'approvisionnement Mini Shai-Hulud, qui visait les paquets npm de TanStack quatre jours plus tôt. L'exfiltration s'est limitée à quelques identifiants présents dans un nombre restreint de dépôts internes. Aucune donnée client, aucun système de production, aucune propriété intellectuelle n'a été touchée — mais l'entreprise procède désormais à la rotation complète de ses clés de signature de code pour Windows, macOS, iOS et Android. Conséquence : les utilisateurs macOS de ChatGPT Desktop, Codex App, Codex CLI et Atlas ont jusqu'au 12 juin 2026 pour mettre à jour leurs applications, avant que les anciens certificats ne soient totalement révoqués.

L'écosystème de l'IA n'avait jamais connu d'incident aussi emblématique sur sa chaîne d'approvisionnement. Un ver autoréplicateur, dissimulé dans une bibliothèque de développement, est parvenu jusqu'à la machine d'un ingénieur du plus important laboratoire d'IA au monde.

Comment l'attaque s'est déroulée

Le maliciel s'appelle Mini Shai-Hulud — une version plus compacte et plus agile du ver npm Shai-Hulud apparu en 2025. StepSecurity, Snyk et Wiz attribuent la vague du 11 mai 2026 à TeamPCP, un groupe à motivation financière déjà impliqué dans la compromission du scanner Trivy en mars 2026 et dans celle de Bitwarden CLI en avril 2026. L'analyse technique complète est publiée par l'équipe de recherche de StepSecurity.

• Le ver a corrompu 84 artefacts de build répartis sur 42 paquets @tanstack/*, ainsi que @mistralai/*, @squawk/* et d'autres — plus de 170 paquets au total, cumulant 518 millions de téléchargements sur npm et PyPI.
• L'attaquant a chaîné trois faiblesses dans GitHub Actions : un Pwn Request lancé depuis un fork renommé (zblgg/configuration) pour échapper aux recherches de forks, un empoisonnement du cache Actions, et un détournement de jeton OIDC pour exfiltrer les secrets CI.
• Plusieurs des paquets malveillants ont été livrés avec des attestations de provenance SLSA Build Level 3 valides — c'est le premier ver npm documenté à produire des artefacts malveillants disposant d'attestations légitimes.
• Le communiqué d'incident d'OpenAI confirme que deux portables de développement macOS ont été touchés, avec une activité conforme au comportement déjà observé du ver : accès non autorisé et exfiltration ciblée d'identifiants depuis un ensemble restreint de dépôts auxquels les deux ingénieurs avaient accès.

Ce que cet incident révèle

L'enjeu n'est pas dans les identifiants exfiltrés. Il est dans les certificats de signature. À partir du 12 juin 2026, une fois l'ancien certificat totalement révoqué, tout utilisateur macOS qui téléchargerait une version frauduleuse de ChatGPT Desktop ou de Codex CLI serait bloqué par Gatekeeper. C'est le résultat attendu. Mais cette même architecture implique qu'un attaquant ayant mis la main sur ces clés plus tôt aurait pu signer et faire notariser un maliciel auquel l'ensemble du parc Mac mondial aurait accordé sa confiance par défaut. Deux portables d'ingénieurs se trouvaient dans le rayon de souffle de ce scénario.

Pour tout le reste de la filière, la leçon est plus opérationnelle. Chaque laboratoire d'IA et chaque entreprise qui gravite autour s'appuie sur le même registre npm, la même surface GitHub Actions et le même appareil de confiance accordée aux artefacts signés. Le ver se propage en exfiltrant les secrets CI/CD : les défenses les plus solides sont donc celles qui limitent ce que ces secrets peuvent faire une fois volés.

Les mesures à prendre

1. Mettez à jour aujourd'hui toutes les applications OpenAI sur macOS. Les versions resignées de ChatGPT Desktop, Codex App, Codex CLI et Atlas doivent être installées avant le 12 juin 2026. Les utilisateurs Windows, iOS et Android ne sont pas concernés.
2. Renouvelez vos secrets npm et CI/CD si vous avez installé un paquet @tanstack/*, @mistralai/* ou apparenté compromis depuis le 11 mai 2026. Épinglez les versions saines, vérifiez si votre compte de service CI a effectué des commits non autorisés, et passez en revue les journaux de build à la recherche de trafic sortant inhabituel durant cette fenêtre.
3. Remplacez vos secrets de dépôt par des jetons OIDC à durée de vie courte. Mini Shai-Hulud se propage en aspirant les secrets persistants des workflows compromis. Substituez-leur des jetons OIDC limités à un environnement précis, expirant en quelques minutes, et imposez une validation manuelle pour les workflows déclenchés par des pull requests externes.

À retenir

OpenAI a géré l'incident proprement : communication rapide, périmètre limité, rotation complète des certificats. Le signal plus important, c'est que la chaîne d'approvisionnement qui alimente les fournisseurs d'IA est devenue un terrain d'affrontement actif, et le même schéma d'attaque touchera des laboratoires plus modestes ne disposant pas de la même cellule d'intervention. Considérez chaque poste de développement comme un poste à accès privilégié, et partez du principe que le prochain ver est déjà en train de tourner.