До 12 июня macOS-клиенты OpenAI нужно обновить из‑за npm-атаки на TanStack

К 12 июня 2026 года пользователям macOS нужно подтянуть приложения OpenAI после npm-атаки на экосистему TanStack с ярлыком Mini Shai-Hulud, а сама компания расписала, как укрепляют доверие к подписанным артефактам и какие периметры прикрыли.

Такие кампании бьют не по одному репозиторию: сомнительные версии проезжают по графу транзитивных зависимостей, а доверие к релизу склеивается из длинного хвоста импортов. Там же OpenAI связывает пользовательский дедлайн на десктопе с ротацией ключей и пересборкой контуров, через которые собираются и подписываются клиентские бинарники.

Отдельный практический слой — не только очередной advisory в ленте, а проверка, какие ключи подписывают артефакт, который уходит конечному пользователю: после шумных npm-инцидентов цепочка доверия на клиенте становится поверхностью атаки не слабее самого реестра.

В инженерных пайплайнах с AI-ассистентами и частыми апдейтами npm-блоков связка TanStack-стека и нативных клиентов снова подчёркивает связку практик: отслеживание advisories, быстрый патч тулчейна и жёсткая политика подписи не дают одному компрометированному пакету развернуться в широкий инцидент за считаные часы.

Источник: Our response to the TanStack npm supply chain attack.