Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreihdx23gprzux6o3oodkq4fvdtb33hxuhpdwyvpb22itcupomazgeu",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mlvx5nz55mh2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreifbkcrflr7jsnwbu7wvaamz6wptzrs6utzslwhsl5gxr3eyzbvn3e"
    },
    "mimeType": "image/png",
    "size": 965570
  },
  "path": "/seguranca/413143-funcionarios-da-openai-tem-pcs-invadidos-apos-ataque-a-biblioteca-javascript.htm",
  "publishedAt": "2026-05-15T16:30:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança",
    "no ataque à cadeia de suprimentos Mini Shai-Hulud",
    "roubo de credenciais",
    "Usuários de Windows",
    "nossa newsletter",
    "canal do YouTube."
  ],
  "textContent": "A OpenAI confirmou que dois dispositivos de funcionários foram comprometidos no ataque à cadeia de suprimentos Mini Shai-Hulud, ocorrido na última segunda-feira (11). A empresa rotacionou certificados de assinatura de código como precaução e exige que usuários macOS atualizem aplicativos até 12 de junho de 2026.\n\nO incidente faz parte de uma campanha massiva do grupo TeamPCP que comprometeu centenas de pacotes npm e PyPI ao longo desta semana. A OpenAI afirma que não houve impacto em dados de clientes, sistemas de produção ou propriedade intelectual.\n\n## Invasores usaram biblioteca popular para infectar desenvolvedores\n\nO ataque explorou o TanStack, uma biblioteca JavaScript amplamente utilizada no desenvolvimento web. Os criminosos conseguiram injetar código malicioso em versões legítimas da biblioteca através de falhas nos workflows do GitHub Actions e configurações de CI/CD.\n\nMalware Mini Shai-Hulud roubava credenciais de desenvolvedores armazenadas em repositórios de código e arquivos de configuração sensíveis.\n\nBasicamente, os atacantes abusaram do sistema de publicação automática de pacotes. Isso permitiu que versões infectadas fossem distribuídas como se fossem atualizações oficiais, passando por todos os processos de validação normais.\n\nO malware tinha como alvo principal o roubo de credenciais de desenvolvedores. Ele buscava tokens do GitHub, credenciais da AWS, chaves SSH e arquivos de configuração sensíveis armazenados nos computadores infectados.\n\n## Certificados de assinatura foram expostos nos repositórios comprometidos\n\nOs dois funcionários afetados tinham acesso a repositórios internos de código que continham certificados de assinatura de software. Esses certificados são usados para validar que os aplicativos da OpenAI são legítimos no macOS, Windows, iOS e Android.\n\nEmpresa não detectou comprometimento de dados de clientes ou sistemas de produção durante investigação forense do incidente.\n\nA OpenAI revogou sessões de usuário, rotacionou todas as credenciais dos repositórios afetados e restringiu temporariamente os fluxos de deploy. A empresa também contratou uma firma especializada em resposta a incidentes para investigação forense.\n\nApesar da exposição, a OpenAI não encontrou evidências de que os certificados foram usados para assinar software malicioso. A rotação está sendo feita por precaução.\n\n## Usuários de macOS precisam atualizar aplicativos até junho\n\nA rotação de certificados afetará apenas usuários macOS. Quem usa ChatGPT Desktop, Codex App, Codex CLI ou Atlas no macOS precisa atualizar para as versões mais recentes através de atualização in-app ou downloads oficiais.\n\nOpenAI exige que usuários de macOS atualizem aplicativos como ChatGPT Desktop até 12 de junho para evitar bloqueios do sistema operacional.\n\nApós 12 de junho, aplicativos assinados com o certificado antigo serão bloqueados pelas proteções de segurança do macOS. Novos downloads e inicializações não funcionarão mais. Usuários de Windows e iOS não precisam tomar nenhuma ação. As atualizações para essas plataformas acontecerão automaticamente sem necessidade de intervenção.\n\n## Malware se espalhava roubando credenciais de outros projetos\n\nO Mini Shai-Hulud se espalhou para outros projetos além do TanStack. Pesquisadores da Socket e Aikido identificaram compromissos em pacotes de Mistral AI, UiPath, Guardrails AI e OpenSearch.\n\nIsso porque o malware roubava tokens do GitHub e npm dos desenvolvedores infectados. Com essas credenciais, os atacantes conseguiam invadir outras contas de mantenedores e publicar versões trojanizadas de novos pacotes.\n\nAtacantes exploraram vulnerabilidades no GitHub Actions para injetar código malicioso em pacotes TanStack e distribuí-los através de canais legítimos.\n\nA Microsoft revelou que o malware também tinha um componente destrutivo direcionado. Em sistemas identificados como sendo de Israel ou Irã, havia uma chance de 1 em 6 de executar um comando que apagaria todo o sistema operacional.\n\nA OpenAI implementou controles adicionais após o incidente Axios anterior, mas os dois dispositivos afetados ainda não tinham as configurações atualizadas que teriam bloqueado o download do pacote malicioso.\n\nAcompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "Funcionários da OpenAI têm PCs invadidos após ataque à biblioteca JavaScript"
}