#0412
OpenAI, TanStack `npm` 공급망 공격 대응 공개
OpenAI details fallout from TanStack npm supply-chain attack
40radar
TanStack프런트엔드 툴킷 — Query·Table 등 핵심 라이브러리 묶음
서드파티 패키지 침해가 OpenAI 앱까지 번져 macOS 사용자는 2026년 6월 12일 전 업데이트가 필요해졌다. 패키지 잠금만 믿지 말고 서명 인증서와 강제 업데이트 경로까지 같이 점검할 타이밍이다.
- 사건 출발점은 TanStack
Mini Shai-Hulud공격이다. 특정 앱 단일 버그가 아니라npm생태계 전체가 흔들린 공급망 이슈였다. - OpenAI는 시스템과 서명 인증서를 보호 조치했다고 밝혔다. 이제 위협 모델에 패키지 버전뿐 아니라 코드 서명 체계도 넣어야 한다.
macOS사용자는 2026-06-12 전OpenAI앱 업데이트가 필요하다. 로컬 파일이나 자격증명을 만지는 도구라면 미루는 비용이 더 크다.- 실무 교훈은 명확하다. 의존성 모니터링, 인증서 위생, 강제 업데이트 플로우를 사고 후가 아니라 배포 전에 갖춰야 한다.
출처: openai.com/index/our-response-to-the-tanstack-npm-supply원문 보기 →