Mon, 13 Apr 2026
← VoltarA OpenAI divulgou um comprometimento da cadeia de suprimentos envolvendo uma biblioteca maliciosa Axios em seu fluxo de trabalho de assinatura de aplicativos macOS. Nenhum dado ou sistema do usuário foi comprometido.
A OpenAI revelou que um fluxo de trabalho do GitHub Actions usado para assinar seus aplicativos macOS levou ao download da biblioteca maliciosa Axios em 31 de março, mas observou que nenhum dado do usuário ou sistema interno foi comprometido. “Por precaução, estamos tomando medidas para proteger o processo que certifica que nossos aplicativos macOS são aplicativos OpenAI legítimos”, disse a OpenAI em um post na semana passada. “Não encontramos nenhuma evidência de que os dados dos usuários da OpenAI tenham sido acessados, que nossos sistemas ou propriedade intelectual tenham sido comprometidos ou que nosso software tenha sido alterado”. A divulgação ocorre pouco mais de uma semana depois que o Google Threat Intelligence Group (GTIG) atribuiu o comprometimento da cadeia de suprimentos do popular pacote npm a um grupo de hackers norte-coreano que ele rastreia como UNC1069.
O ataque permitiu que os agentes da ameaça sequestrassem a conta npm do mantenedor do pacote para enviar duas versões envenenadas 1.14.1 e 0.30.4 que vinham incorporadas com uma dependência maliciosa chamada “plain-crypto-js”, que implantou um backdoor de plataforma cruzada chamado WAVESHAPER.V2 para infectar sistemas Windows, macOS e Linux. A empresa de inteligência artificial (IA) disse que um fluxo de trabalho do GitHub Actions que usa como parte de seu processo de assinatura de aplicativos macOS baixou e executou o Axios versão 1.14.1. O fluxo de trabalho, acrescentou, tinha acesso a um certificado e material de reconhecimento de firma usado para assinar ChatGPT Desktop, Codex, Codex CLI e Atlas. “Nossa análise do incidente concluiu que o certificado de assinatura presente neste fluxo de trabalho provavelmente não foi exfiltrado com sucesso pela carga maliciosa devido ao tempo de execução da carga útil, injeção de certificado no trabalho, sequenciamento do trabalho em si e outros fatores atenuantes”, disse a empresa.
Apesar de não encontrar nenhuma evidência de exfiltração de dados, a OpenAI disse que está tratando o certificado como comprometido e que o está revogando e rotacionando. Como resultado, as versões mais antigas de todos os seus aplicativos de desktop macOS não receberão mais atualizações ou suporte a partir de 8 de maio de 2026. Isso também significa que os aplicativos assinados com o certificado anterior serão bloqueados pelas proteções de segurança do macOS por padrão, impedindo que sejam baixados ou iniciados. As primeiras versões assinadas com seu certificado atualizado estão listadas abaixo - ChatGPT Desktop - 1.2026.071 Codex App - 26.406.40811 Codex CLI - 0.119.0 Atlas - 1.2026.84.2 Como parte de seus esforços de remediação, a OpenAI também está trabalhando com a Apple para garantir que o software assinado com o certificado anterior não possa ser autenticado novamente.
A janela de 30 dias até 8 de maio de 2026 é uma forma de minimizar a interrupção do usuário e dar-lhes tempo suficiente para garantir que estejam atualizados para a versão mais recente, apontou. “No caso de o certificado ser comprometido com sucesso por um agente mal-intencionado, ele poderá usá-lo para assinar seu próprio código, fazendo-o parecer um software OpenAI legítimo”, disse OpenAI. “Interrompemos novos reconhecimentos de firma de software usando o certificado antigo, portanto, novos softwares assinados com o certificado antigo por terceiros não autorizados seriam bloqueados por padrão pelas proteções de segurança do macOS, a menos que um usuário as ignore explicitamente.” Dois ataques à cadeia de suprimentos Rock March A violação do Axios, uma das bibliotecas de cliente HTTP mais amplamente usadas, foi um dos dois principais ataques à cadeia de suprimentos ocorridos em março visando o ecossistema de código aberto. O outro incidente teve como alvo o Trivy, um scanner de vulnerabilidades mantido pela Aqua Security, resultando em impactos em cascata em cinco ecossistemas, afetando uma série de outras bibliotecas populares que dele dependem.
O ataque, obra de um grupo cibercriminoso chamado TeamPCP (também conhecido como UNC6780), implantou um ladrão de credenciais denominado SANDCLOCK que facilitou a extração de dados confidenciais de ambientes de desenvolvedores. Posteriormente, os agentes da ameaça transformaram as credenciais roubadas em armas para comprometer pacotes npm e enviar um worm de autopropagação chamado CanisterWorm. Dias depois, a equipe usou segredos roubados da invasão do Trivy para injetar o mesmo malware em dois fluxos de trabalho do GitHub Actions mantidos pela Checkmarx. Os atores da ameaça seguiram então publicando versões maliciosas de LiteLLM e Telnyx no Python Package Index (PyPI), ambos os quais usam Trivy em seu pipeline de CI/CD.
“O compromisso da Telnyx indica uma mudança contínua nas técnicas usadas na atividade da cadeia de suprimentos do TeamPCP, com ajustes nas ferramentas, métodos de entrega e cobertura da plataforma”, disse a Trend Micro em uma análise do ataque. “Em apenas oito dias, o ator migrou para scanners de segurança, infraestrutura de IA e agora ferramentas de telecomunicações, evoluindo sua entrega de Base64 inline para execução automática .pth e, finalmente, para esteganografia WAV de arquivo dividido, ao mesmo tempo em que expande de apenas Linux para segmentação de plataforma dupla com persistência do Windows. Em sistemas Windows, o hack do Telnyx Python SDK resultou na implantação de um executável chamado "msbuild.exe" que emprega várias técnicas de ofuscação para evitar a detecção e extrai DonutLoader, um carregador de shellcode, de uma imagem PNG presente no binário para carregar um trojan completo e um beacon associado ao AdaptixC2, uma estrutura de comando e controle (C2) de código aberto. Análises adicionais da campanha, agora identificada como CVE-2026-33634, foram publicadas por vários fornecedores de segurança cibernética - a violência de comprometimento da cadeia de suprimentos do TeamPCP pode ter chegado ao fim, mas o grupo desde então mudou seu foco para monetizar as colheitas de credenciais existentes, unindo-se a outros grupos motivados financeiramente, como Vect, LAPSUS$ e ShinyHunters.
As evidências indicam que o agente da ameaça também lançou uma operação proprietária de ransomware sob o nome CipherForce. Esses esforços foram complementados pelo uso de dados roubados pelo TeamPCP para acessar ambientes de nuvem e software como serviço (SaaS), marcando uma nova escalada da campanha. Para esse fim, descobriu-se que a gangue do crime cibernético verifica credenciais roubadas usando o TruffleHog, inicia operações de descoberta dentro de 24 horas após a validação, extrai mais dados e tenta movimentos laterais para obter acesso à rede mais ampla. “As credenciais e segredos roubados nos comprometimentos da cadeia de suprimentos foram rapidamente validados e usados para explorar os ambientes das vítimas e exfiltrar dados adicionais”, disseram os pesquisadores do Wiz.
“Embora a velocidade com que foram usados sugira que foi trabalho dos mesmos agentes de ameaça responsáveis pelas operações da cadeia de abastecimento, não podemos descartar que os segredos sejam partilhados com outros grupos e usados por eles”. Os ataques se espalham pelas dependências O Google alertou que “centenas de milhares de segredos roubados” poderiam estar circulando como resultado dos ataques Axios e Trivy, alimentando mais ataques à cadeia de suprimentos de software, comprometimento do ambiente SaaS, eventos de ransomware e extorsão e roubo de criptomoedas no curto prazo. Duas organizações que confirmaram o comprometimento por meio do ataque à cadeia de suprimentos Trivy são a Mercor, startup de treinamento de dados de inteligência artificial (IA), e a Comissão Europeia. Embora a empresa não tenha divulgado detalhes sobre o impacto, o grupo de extorsão LAPSUS$ listou a Mercor em seu site de vazamento, alegando ter exfiltrado cerca de 4 TB de dados.
A violação da Mercor levou a Meta a interromper seu trabalho com a empresa, de acordo com um relatório da WIRED. No início deste mês, o CERT-EU revelou que os atores da ameaça usaram o segredo roubado da AWS para exfiltrar dados do ambiente de nuvem da Comissão. Isto incluiu dados relativos a websites alojados por até 71 clientes do serviço de alojamento web Europa e comunicações por correio eletrónico enviadas. Desde então, o grupo ShinyHunters divulgou publicamente o conjunto de dados exfiltrado em seu site de vazamento na dark web.
A análise do GitGuardian dos ataques à cadeia de suprimentos Trivy e LiteLLM e sua propagação através de dependências e pipelines de automação descobriu que 474 repositórios públicos executaram código malicioso a partir do fluxo de trabalho de "ação trivial" comprometido, e 1.750 pacotes Python foram configurados de uma forma que puxaria automaticamente as versões envenenadas. "O TeamPCP está deliberadamente visando ferramentas de segurança que executado com privilégios elevados por design. Comprometê-los dá ao invasor acesso a alguns dos ambientes mais sensíveis da organização, porque as ferramentas de segurança normalmente recebem amplo acesso por design”, escreveu Brett Leatherman, diretor assistente da Divisão Cibernética do Federal Bureau of Investigation (FBI) dos EUA no LinkedIn. Os incidentes da cadeia de suprimentos são perigosos porque visam a confiança inerente que os desenvolvedores assumem ao baixar pacotes e dependências de repositórios de código aberto.
disse. "As organizações que passaram por esses incidentes com danos mínimos já haviam começado a substituir a confiança implícita por verificação explícita em todas as camadas de sua pilha: imagens de base verificadas em vez de pulls da comunidade, referências fixadas em vez de tags mutáveis, credenciais com escopo e curta duração em vez de tokens de longa duração e ambientes de execução em sandbox em vez de executores de CI totalmente abertos. Tanto o Docker quanto os mantenedores do Python Package Index (PyPI) descreveram uma longa lista de recomendações que os desenvolvedores podem implementar para combater tais ataques - Fixar pacotes por digestão ou commit. " SHA em vez de tags mutáveis.
Use Docker Hardened Images (DHI). Aplique configurações de idade mínima de lançamento para atrasar a adoção de novas versões para atualizações de dependência. Use um espelho interno ou proxy de artefato para ser alertado sobre possíveis tentativas de exfiltração para segredos de código rígido. Ambientes em área restrita.
Use publicação confiável para enviar pacotes para npm e PyPI Proteja o pipeline de desenvolvimento de código aberto com autenticação de dois fatores (2FA). A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também adicionou CVE-2026-33634 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), determinando que as agências do Poder Executivo Civil Federal (FCEB) apliquem as mitigações necessárias até 9 de abril de 2026. Os recentes ataques à cadeia de fornecimento de software são esmagadores”, disse Charles Carmakal, diretor de tecnologia da Mandiant Consulting no Google. “Os defensores precisam prestar muita atenção a essas campanhas.
As empresas devem desenvolver projetos dedicados para avaliar o impacto existente, remediar e se proteger contra ataques futuros”.