A OpenAI revelou que um workflow do GitHub Actions usado para assinar seus apps para macOS baixou a biblioteca maliciosa Axios em 31 de março, mas afirmou que nenhum dado de usuários nem sistemas internos foi comprometido.
“Por excesso de cautela, estamos adotando medidas para proteger o processo que certifica que nossos aplicativos para macOS são, de fato, apps legítimos da OpenAI”, disse a empresa em uma publicação na semana passada.
“Não encontramos evidências de que dados de usuários da OpenAI tenham sido acessados, de que nossos sistemas ou propriedade intelectual tenham sido comprometidos, ou de que nosso software tenha sido alterado.”
A divulgação veio pouco mais de uma semana depois de a Google Threat Intelligence Group (GTIG) atribuir a violação da cadeia de suprimentos de um popular pacote npm a um grupo norte-coreano que monitora sob o nome UNC1069.
O ataque permitiu que os criminosos sequestrassem a conta do mantenedor do pacote no npm para publicar duas versões adulteradas, 1.14.1 e 0.30.4, que vinham com uma dependência maliciosa chamada plain-crypto-js.
Essa dependência instalava uma backdoor multiplataforma chamada WAVESHAPER.V2, capaz de infectar sistemas Windows, macOS e Linux.
A empresa de inteligência artificial informou que um workflow do GitHub Actions, usado no processo de assinatura dos apps para macOS, baixou e executou a versão 1.14.1 do Axios.
Segundo a OpenAI, esse workflow tinha acesso a um certificado e a materiais de notarização usados para assinar o ChatGPT Desktop, o Codex, o Codex CLI e o Atlas.
“Nossa análise do incidente concluiu que o certificado de assinatura presente nesse workflow provavelmente não foi exfiltrado com sucesso pelo payload malicioso, devido ao momento de execução, à injeção do certificado no job, à sequência do próprio job e a outros fatores de mitigação”, afirmou a companhia.
Apesar de não ter encontrado evidências de exfiltração de dados, a OpenAI disse que está tratando o certificado como comprometido e que vai revogá-lo e substituí-lo.
Com isso, versões antigas de todos os seus apps desktop para macOS deixarão de receber atualizações ou suporte a partir de 8 de maio de 2026.
Isso também significa que apps assinados com o certificado anterior serão bloqueados por padrão pelas proteções de segurança do macOS, impedindo que sejam baixados ou executados.
As primeiras versões assinadas com o novo certificado são as seguintes:
ChatGPT Desktop - 1.2026.071
Codex App - 26.406.40811
Codex CLI - 0.119.0
Atlas - 1.2026.84.2
Como parte das medidas de correção, a OpenAI também está trabalhando com a Apple para garantir que softwares assinados com o certificado anterior não possam receber nova notarização.
A janela de 30 dias até 8 de maio de 2026 foi pensada para reduzir o impacto sobre os usuários e dar tempo suficiente para que atualizem para a versão mais recente, explicou a empresa.
“Caso o certificado tenha sido realmente comprometido por um agente malicioso, ele poderia ser usado para assinar código próprio, fazendo-o parecer software legítimo da OpenAI”, disse a empresa.
“Interrompemos novas notarizações usando o certificado antigo, de modo que novo software assinado com esse certificado por terceiros não autorizados seria bloqueado por padrão pelas proteções de segurança do macOS, a menos que o usuário as contorne explicitamente.”
Dois supply chain attacks marcaram março
A violação do Axios, uma das bibliotecas de cliente HTTP mais usadas do mundo, foi um dos dois grandes ataques à cadeia de suprimentos registrados em março contra o ecossistema open source.
O outro incidente teve como alvo o Trivy, scanner de vulnerabilidades mantido pela Aqua Security, e gerou efeitos em cascata em cinco ecossistemas, afetando várias outras bibliotecas populares que dependem dele.
O ataque, atribuído ao grupo criminoso TeamPCP, também identificado como UNC6780, distribuiu um credential stealer batizado de SANDCLOCK, que ajudava a extrair dados sensíveis de ambientes de desenvolvimento.
Em seguida, os criminosos usaram as credenciais roubadas para comprometer pacotes npm e publicar um worm autorreplicante chamado CanisterWorm.
Dias depois, o grupo usou segredos obtidos na intrusão ao Trivy para injetar o mesmo malware em dois workflows do GitHub Actions mantidos pela Checkmarx.
Depois disso, publicou versões maliciosas do LiteLLM e do Telnyx no Python Package Index (PyPI), ambos com uso do Trivy em seu pipeline de CI/CD.
“O comprometimento do Telnyx indica uma mudança contínua nas técnicas usadas na atividade de supply chain do TeamPCP, com ajustes em ferramentas, métodos de entrega e cobertura de plataformas”, afirmou a Trend Micro em análise do ataque.
“Em apenas oito dias, o grupo mudou de scanners de segurança para infraestrutura de IA e, agora, para ferramentas de telecomunicações, evoluindo a entrega de inline Base64 para execução automática via .pth e, por fim, para esteganografia WAV em arquivos divididos, além de ampliar o foco de Linux para Windows com persistência em duas plataformas.”
Em sistemas Windows, a invasão do SDK Python da Telnyx resultou na execução de um arquivo chamado msbuild.exe, que usa várias técnicas de obfuscação para evitar detecção e extrai o DonutLoader, um loader de shellcode, a partir de uma imagem PNG incorporada ao binário para carregar um trojan completo e um beacon associado ao AdaptixC2, um framework open source de comando e controle (C2).
Análises adicionais da campanha, agora identificada como
CVE-2026-33634
, foram publicadas por diferentes fornecedores de cibersegurança.
CrowdStrike
FUTURESEARCH
Hexastrike
Kudelski Security
Microsoft
OpenSourceMalware
Palo Alto Networks Unit 42
ReversingLabs
SOCRadar
Sonatype
StepSecurity
Synk
Trend Micro
TRUESEC
Wiz
A ofensiva de supply chain do TeamPCP pode ter perdido força, mas o grupo passou a focar na monetização das credenciais já roubadas, ao se associar a outros grupos com motivação financeira, como Vect, LAPSUS$ e ShinyHunters.
Há indícios de que o criminoso também tenha iniciado uma operação própria de ransomware sob o nome CipherForce.
Essas ações foram complementadas pelo uso dos dados roubados para acessar ambientes em nuvem e SaaS, elevando o nível da campanha.
Nesse contexto, o grupo passou a validar credenciais furtadas com o TruffleHog, iniciar operações de reconhecimento em até 24 horas após a validação, exfiltrar mais dados e tentar movimento lateral para alcançar a rede mais ampla.
“As credenciais e segredos roubados nos compromissos da cadeia de suprimentos foram rapidamente validados e usados para explorar ambientes das vítimas e exfiltrar dados adicionais”, afirmaram pesquisadores da Wiz.
“Embora a velocidade de uso sugira que tenham sido os mesmos atores responsáveis pelas operações de supply chain, não é possível descartar que os segredos tenham sido compartilhados com outros grupos e usados por eles.”
Ataques se espalham pelas dependências
O Google alertou que “centenas de milhares de segredos roubados” podem estar circulando em decorrência dos ataques ao Axios e ao Trivy, alimentando novos ataques à cadeia de suprimentos de software, invasões a ambientes SaaS, eventos de ransomware e extorsão, além de roubo de criptomoedas no curto prazo.
Duas organizações que confirmaram ter sido afetadas pelo ataque à cadeia de suprimentos do Trivy são a startup de treinamento de dados para IA Mercor e a Comissão Europeia.
Embora a empresa não tenha detalhado o impacto, o grupo extorsivo LAPSUS$ listou a Mercor em seu site de vazamentos, alegando ter exfiltrado cerca de 4 TB de dados.
O ataque à Mercor levou a Meta a pausar o trabalho com a companhia, segundo reportagem da WIRED.
No início deste mês, o CERT-EU informou que os criminosos usaram o segredo AWS roubado para exfiltrar dados do ambiente em nuvem da Comissão.
Isso incluiu informações relacionadas a sites hospedados para até 71 clientes do serviço Europa web hosting e comunicações de e-mail enviadas para fora da organização.
O grupo ShinyHunters posteriormente publicou o conjunto de dados exfiltrado em seu site de vazamentos na dark web.
A análise da GitGuardian sobre os ataques de supply chain ao Trivy e ao LiteLLM, e sua propagação por dependências e pipelines de automação, concluiu que 474 repositórios públicos executaram código malicioso a partir do workflow comprometido trivy-action, e 1.750 pacotes Python estavam configurados de forma a baixar automaticamente as versões adulteradas.
“O TeamPCP está mirando deliberadamente ferramentas de segurança que, por padrão, operam com privilégios elevados.
Comprometer esse tipo de ferramenta dá ao atacante acesso a alguns dos ambientes mais sensíveis da organização, porque soluções de segurança normalmente recebem amplo acesso por projeto”, escreveu Brett Leatherman, diretor-adjunto da Cyber Division do FBI, no LinkedIn.
Os incidentes de supply chain são perigosos porque atingem a confiança inerente que desenvolvedores depositam ao baixar pacotes e dependências de repositórios open source.
“A confiança foi assumida onde deveria ter sido verificada”, disse Mark Lechner, CISO da Docker.
“As organizações que passaram por esses incidentes com danos mínimos já vinham substituindo confiança implícita por verificação explícita em todas as camadas da stack: base images verificadas em vez de pulls comunitários, referências fixadas em vez de tags mutáveis, credenciais restritas e de curta duração em vez de tokens de longa duração, e ambientes de execução isolados em vez de runners de CI amplamente expostos.”
Tanto a Docker quanto os mantenedores do Python Package Index (PyPI) divulgaram uma longa lista de recomendações que desenvolvedores podem adotar para reduzir o risco desses ataques:
Fixar pacotes por digest ou commit SHA, em vez de usar tags mutáveis.
Usar Docker Hardened Images (DHI).
Aplicar configurações de minimum release age para atrasar a adoção de novas versões em atualizações de dependências.
Tratar todo CI runner como um possível ponto de comprometimento e evitar triggers pull_request_target no GitHub Actions, salvo quando estritamente necessário.
Usar credenciais de curta duração e com escopo mínimo.
Utilizar mirror interno ou artifact proxy.
Implantar canary tokens para receber alertas sobre possíveis tentativas de exfiltração.
Auditar o ambiente em busca de secrets embutidos no código.
Executar agentes de codificação com IA em ambientes sandboxed.
Usar trusted publishing para publicar pacotes no npm e no PyPI.
Proteger o pipeline open source com autenticação de dois fatores (2FA).
A CISA, agência de cibersegurança e infraestrutura dos Estados Unidos, também adicionou a
CVE-2026-33634
ao catálogo Known Exploited Vulnerabilities (KEV), determinando que as agências civis do Poder Executivo federal adotem as mitigações necessárias até 9 de abril de 2026.
“O número de ataques recentes à cadeia de suprimentos de software é esmagador”, afirmou Charles Carmakal, diretor de tecnologia da Mandiant Consulting, do Google.
“Os defensores precisam prestar muita atenção a essas campanhas.
As empresas devem criar projetos dedicados para avaliar o impacto já existente, corrigir os problemas e se fortalecer contra ataques futuros.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...