A OpenAI veio a público confirmar que dois dos seus colaboradores tiveram os seus dispositivos afetados por um ciberataque recente à TanStack. Segundo a publicação no blog oficial da OpenAI, apesar do incidente, a investigação interna concluiu que não existe qualquer indício de acesso a dados dos utilizadores, comprometimento dos sistemas de produção ou da propriedade intelectual, nem qualquer alteração ao software da empresa.
O incidente teve origem no início da semana, quando piratas informáticos comprometeram vários projetos de código aberto utilizados por dezenas de organizações. O objetivo principal passava pela distribuição de atualizações modificadas para disseminar código malicioso, enquadrando-se na vaga de ataques à cadeia de mantimentos (supply chain) focados diretamente em programadores.
A ameaça silenciosa na TanStack
A falha que atingiu a OpenAI derivou do ataque direcionado à biblioteca TanStack, amplamente utilizada na criação de aplicações web. A equipa responsável pelo projeto revelou que os atacantes conseguiram publicar 84 versões maliciosas do software num curto espaço de seis minutos. Graças à intervenção rápida de um investigador, a ameaça foi detetada em apenas 20 minutos.
Estas versões adulteradas continham software malicioso desenhado especificamente para roubar credenciais dos computadores onde fossem instaladas. Além do roubo de dados, a ameaça contava com capacidades de auto-propagação para infetar outros sistemas na mesma rede. No caso da OpenAI, os atacantes conseguiram acesso não autorizado e roubo de credenciais num conjunto limitado de repositórios de código-fonte interno aos quais os dois colaboradores tinham permissões.
Prevenção e impacto no ecossistema
Apesar de a OpenAI garantir que apenas foi recolhido material limitado de credenciais, a empresa optou por atuar de forma preventiva. Uma vez que os repositórios afetados guardavam certificados digitais utilizados para assinar os produtos da marca, a gestão da OpenAI decidiu rodar esses mesmos certificados. Esta medida de segurança vai exigir que os utilizadores de macOS realizem a atualização da aplicação, embora a empresa reitere que não existe risco para as instalações já existentes.
A autoria deste ataque permanece por apurar. O histórico recente de ciberataques à cadeia de mantimentos aponta para diferentes atores, incluindo o grupo TeamPCP. Outras campanhas partilharam do mesmo modus operandi, como a invasão à ferramenta Axios por piratas norte-coreanos em março, ou a acusação sobre atacantes chineses em maio, focada em infetar máquinas Windows através do software Daemon Tools. Esta estratégia permite aos atacantes comprometer múltiplos alvos de uma só vez, disfarçando o malware de simples atualizações rotineiras.
Nenhum comentário
Seja o primeiro!