Hackare nådde OpenAI via smittade kodbibliotek – och publicerade sedan sin mask fritt på nätet
Hackare tog sig in i OpenAI via ett smittat öppet källkodspaket – och delade sedan masken fritt.
När leverantörskedjan blir bakdörren
Det finns en sorts ironi i att ett av världens mest avancerade AI-företag inte komprometterades via ett sofistikerat angrepp mot sina egna system – utan via ett öppet källkodsprojekt som otaliga utvecklare använder dagligen. Enligt SecurityWeek drabbades OpenAI av den så kallade TanStack-kedjeattacken den 11 maj, när hackergruppen TeamPCP lyckades injicera 84 skadliga kodpaket i publiceringsprocessen för det populära ramverket. Samma dag infekterades över 170 paket i välkända kodförråd som NPM och PyPI.
Resultatet för OpenAI:s del: två anställdas datorer infekterades med den mask som gruppen döpt till Shai-Hulud, och angriparna fick tillgång till ett antal interna källkodsarkiv. Därifrån hämtades inloggningsuppgifter och känsliga hemligheter. OpenAI uppger att kunddata och immateriella tillgångar inte påverkades, men att arkiven innehöll kodsigneringscertifikat för iOS, macOS, Windows och Android – samtliga har nu återkallats och alla berörda program signeras om.
Det är ett kraftfullt påminnande om hur tätt sammankopplad modern mjukvaruutveckling är. Du kan ha världens bästa säkerhetsteam internt och ändå vara sårbar för vad som händer tre led bort i din beroendekedja.
Masken som spreds vidare – och nu är fri för alla
Det som gör situationen mer oroande är vad TeamPCP gjorde härnäst. Gruppen publicerade källkoden till Shai-Hulud öppet på GitHub, komplett med detaljerade instruktioner, rapporterar SecurityWeek. GitHub tog snabbt bort arkiven, men enligt säkerhetsföretaget Datadog hade koden redan spridit sig i ett flertal förgreningar.
Till detta lade gruppen en öppen inbjudan på forumet BreachForums: en så kallad "försörjningskedjeutmaning" där kriminella uppmanades att använda masken i angrepp mot programvarukedjor – mot ekonomisk ersättning, skalad efter hur stor skada man lyckas åstadkomma.
Säkerhetsforskaren Ben Ronallo vid Black Duck är tydlig i sin bedömning: "TeamPCP vrider upp volymen till max och släpper detta till vem som helst som vill använda det. Det kommer sannolikt att ge upphov till flera varianter av skadeprogrammet." Enligt Ox Security har hotaktörer redan börjat modifiera koden för egna angrepp.
Datdogs tekniska analys av Shai-Hulud visar en modulär uppbyggnad med verktyg för insamling av hemligheter och avlyssning – en design som är skrämmande enkel att bygga vidare på.
79 hål i Chrome, varav 14 kritiska
Parallellt med detta rullade Google ut en säkerhetsuppdatering till Chrome 148 som täpper till hela 79 säkerhetsbrister, varav 14 bedöms som kritiska, enligt SecurityWeek. Den allvarligaste externt rapporterade bristen – ett så kallat heapbuffertspill i komponenten WebML – är spårad under beteckningen CVE-2026-8509. Google betalade ut 43 000 dollar till den säkerhetsforskare som hittade den, en summa som tydligt antyder att bristen skulle kunna utnyttjas för att köra godtycklig kod på distans.
Det är värt att notera: WebML är en komponent kopplad till maskininlärning direkt i webbläsaren. AI-funktionalitet byggs nu in i allt fler delar av grundläggande infrastruktur – och med det följer en ny attackyta.
Övriga kritiska brister inkluderar ett heltalsspill i grafikbiblioteket Skia samt åtta så kallade use-after-free-sårbarheter i komponenter som UI, filsystem och nedladdningshanteraren.
Fejkade AI-verktyg som lockar utvecklare
Veckan innehöll ytterligare ett oroande mönster: säkerhetsforskare vid Ontinue avslöjade en pågående kampanj där skadliga aktörer skapar falska installationssidor för AI-verktyget Claude Code, marknadsförda via köpta sökresultat. Målgruppen är utvecklare – samma yrkesgrupp som drabbades av TanStack-attacken.
Det är en logisk konsekvens av att AI-verktyg nu är vardag i utvecklarflöden. Ju mer ett verktyg används och litas på, desto mer lockande blir det som lockbete. Angriparna följer helt enkelt uppmärksamheten.
Sammanlagt målar veckans händelser upp en tydlig bild: AI-infrastrukturen är inte starkare än sin svagaste beroende, och just nu finns det gott om svaga beroendedeklarationer att utnyttja.
Vår analys
Det är lätt att fokusera på AI-modellernas förmågor och glömma att de lever i en ekosystemsväv av kodbibliotek, paketförråd, webbläsarkomponenter och tredjepartsleverantörer – precis som all annan mjukvara. TanStack-attacken mot OpenAI är ett skolboksexempel på hur leverantörskedjan används som omväg runt starka perimeterförsvar.
Det som skiljer den här veckan från tidigare händelser är eskaleringen av tillgänglighet: när TeamPCP öppnar Shai-Hulud för vem som helst sänks trösklarna dramatiskt. Vi rör oss från riktade angrepp av sofistikerade grupper till ett ekosystem där nästan vem som helst kan genomföra en kedjeattack.
Den positiva motbilden är att transparens och snabb respons – Googles buggbelöningsprogram, OpenAI:s öppna kommunikation, GitHubs snabba borttagning – faktiskt fungerar. Framåt behöver branschen investera mer i mjukvarusammansättningsanalys och kryptografisk verifiering av beroenden. Det är lösbart. Men takten måste öka.