黑客劫持开源项目，供应链攻击再发威

本周初，黑客成功劫持多个开源项目，向数十家公司推送伪装成常规更新的恶意软件，这是近期针对软件开发者和项目的最新一轮供应链攻击。

OpenAI员工设备受影响，用户数据未泄露

周三，OpenAI确认两名员工设备“受到此次攻击影响”。经调查后，公司在博客中声明，未发现用户数据被访问、生产系统或知识产权受损、软件被篡改的证据。

攻击源于TanStack开源库，部分内部凭证遭窃

OpenAI表示，员工设备因TanStack开源库遭攻击而受影响。TanStack是帮助开发者构建网页应用的流行开源库。周一，TanStack披露攻击并发布事后报告称，黑客在六分钟内发布了84个恶意软件版本，一名研究员在20分钟内检测到攻击。这些恶意版本包含窃取计算机凭证并自我传播的恶意软件。

OpenAI透露，黑客对两名受影响员工有访问权限的内部代码库进行了未经授权的访问，窃取了“有限数量的凭证材料”。由于受影响代码库包含用于签署OpenAI产品的数字证书，公司正“预防性地”旋转证书，这将要求macOS用户更新应用。公司强调：“未发现现有软件安装存在被攻破或风险。”

供应链攻击频发，黑客借开源项目扩大攻击范围

此次攻击的幕后黑手尚不明确。此前类似供应链攻击曾被归因于名为TeamPCP的黑客团伙，该团伙自身也曾遭黑客攻击。

• 今年3月，朝鲜黑客劫持Axios开源开发工具，推送恶意软件，可能感染数百万开发者。
• 5月，中国黑客被指对Daemon Tools磁盘镜像软件发动类似攻击，目标数千台运行该软件的Windows电脑。

这类攻击中，黑客不直接针对特定公司，而是劫持开源项目，通过推送伪装成正常更新的恶意软件，以一次攻击潜在感染数十个目标，扩大网络破坏范围。

关注微信号：智享开源 ，可及时获取信息

原文链接：https://techcrunch.com/2026/05/14/openai-says-hackers-stole-some-data-after-latest-code-security-issue/