As melhores informações sobre criptomoedas direto na sua caixa de entrada.
OpenAI nega exposição de dados de usuários devido ao ataque à cadeia de suprimentos TanStack npm e Mini Shai-Hulud
- A OpenAI confirmou que dois dispositivos de funcionários foram comprometidos, mas não encontrou evidências de que dados de usuários, sistemas de produção ou propriedade intelectual tenham sido acessados ou roubados.
- A campanha “Mini Shai-Hulud” explorou vulnerabilidades no GitHub Actions para publicar 84 pacotes maliciosos em 42 bibliotecas do TanStack.
- Embora os aplicativos para Windows e iOS sejam seguros, a OpenAI está rotacionando os certificados de assinatura de código.
A OpenAI admitiu que dois dispositivos de funcionários foram comprometidos por meio de versões maliciosas de pacotes npm do TanStack.
A empresa insiste que não foram encontradas evidências de que dados de usuários, sistemas de produção ou propriedade intelectual tenham sido adulterados.
A OpenAI foi alvo de um ataque cibernético?
A OpenAI confirmou que agentes maliciosos invadiram dois dispositivos de seus funcionários como parte de uma campanha massiva na cadeia de suprimentos de software chamada "Mini Shai-Hulud".
A OpenAI já havia implementado controles para limitar a exposição a ataques na cadeia de suprimentos após umdent com a Axios, mas os dois dispositivos dos funcionários afetados ainda não haviam recebido as configurações atualizadas que teriam bloqueado o download do pacote malicioso.
O ataque teve como alvo o TanStack, uma biblioteca de código aberto usada por milhões de desenvolvedores. Os atacantes publicaram 84 versões maliciosas em 42 pacotes npm, incluindo o popular @tanstack/react-router, que é baixado mais de 12 milhões de vezes por semana.
Um pesquisador externo que trabalha para a StepSecurity detectou os pacotes maliciosos em aproximadamente 20 minutos após a publicação e notificou diretamente a equipe de segurança do npm.
Este ataque explorou a confiança que os usuários depositam em sistemas de compilação automatizados. O código malicioso foi publicado usando as próprias chaves de publicação legítimas da TanStack, fazendo-o parecer uma atualização oficial.
Mini Shai-Hulud é um malware autorreplicante que roubadentcomo tokens do GitHub, chaves de nuvem e chaves SSH assim que um desenvolvedor ou sistema CI/CD o instala. O malware então tenta republicá-lo em outros pacotes mantidos pela vítima.
Pesquisadores de segurança relatam que a campanha comprometeu pacotes nos ecossistemas npm e PyPI. Além da OpenAI e da TanStack, o ataque afetou códigos pertencentes à Mistral AI, UiPath (NYSE: PATH), OpenSearch e Guardrails AI.
Os pesquisadores observam que o payload instala um daemon persistente que funciona como um "interruptor de segurança". Se uma vítima revogar um token do GitHub roubado, o malware pode acionar um comando para apagar o diretório pessoal do usuário.
Os dados dos usuários da OpenAI foram comprometidos?
Após o ataque, a OpenAI contratou uma empresa terceirizada de perícia forense para auxiliar na investigação. A empresa afirmou não ter encontrado evidências de que seus dados de usuários tenham sido acessados ou que seus sistemas de produção, propriedade intelectual ou software tenham sido comprometidos.
No entanto, os atacantes ainda conseguiramtracalgumasdentde repositórios de código internos aos quais esses dispositivos tinham acesso. Isso incluía certificados de assinatura de código para aplicativos macOS.
Agora, os usuários de Mac precisam atualizar seus aplicativos ChatGPT Desktop, Codex e Atlas para a versão mais recente até 12 de junho de 2026, caso contrário, o software será bloqueado pelas proteções de segurança do macOS.
A OpenAI afirmou não ter encontrado evidências de software malicioso assinado com seus certificados, nem modificações não autorizadas em aplicativos publicados.
A empresa observou que a nova autenticação com os certificados antigos já foi bloqueada, o que significa que qualquer aplicativo fraudulento que tente usá-los não terá a autenticação da Apple e será bloqueado pelas proteções de segurança do macOS por padrão.
As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer participar? Junte-se a elas.
Perguntas frequentes
Os dados de usuários ou informações de clientes da OpenAI foram expostos no ataque TanStack?
Não. A OpenAI afirmou não ter encontrado evidências de que dados de usuários foram acessados, que sistemas de produção foram comprometidos ou que qualquer software publicado foi alterado.
Os usuários da OpenAI precisam alterar suas senhas ou chaves de API?
A OpenAI afirmou que as senhas e chaves de API dos clientes não foram afetadas. No entanto, os usuários de macOS devem atualizar seus aplicativos de desktop da OpenAI (ChatGPT Desktop, Codex App, Codex CLI e Atlas) até 12 de junho de 2026, data em que os certificados de assinatura antigos serão revogados.
Como funcionou o ataque à cadeia de suprimentos do npm do TanStack?
Um atacante explorou vulnerabilidades nos fluxos de trabalho do GitHub Actions para envenenar o cache de CI/CD do repositório TanStack Router e, em seguida, usou esse acesso para publicar 84 versões de pacotes maliciosos em 42 bibliotecas do TanStack, que coletavamdentde desenvolvedores durante a instalação, de acordo com o relatório pós-incidente da TanStack.
Hannah Collymore
Hannah é escritora e editora com quase uma década de experiência em redação para blogs e cobertura de eventos. Ela se formou em Administração de Empresas pela Universidade Arcadia. Atualmente, trabalha na Cryptopolitan, onde contribui com reportagens sobre os últimos acontecimentos nos setores de criptomoedas, jogos e inteligência artificial.
CURSO
- Quais criptomoedas podem te fazer ganhar dinheiro?
- Como aumentar a segurança da sua carteira digital (e quais realmente valem a pena usar)
- Estratégias de investimento pouco conhecidas que os profissionais utilizam
- Como começar a investir em criptomoedas (quais corretoras usar, as melhores criptomoedas para comprar etc.)