Na última semana, hackers sequestraram vários projetos de código aberto usados por dezenas de empresas e publicaram atualizações maliciosas projetadas para espalhar malware. Este é o mais recente de uma série de ataques à chamada 'cadeia de suprimentos' que visam desenvolvedores de software e seus projetos.
Na quarta-feira, a OpenAI confirmou que dois funcionários tiveram seus dispositivos impactados pelo ataque, mas, após investigação, a empresa afirmou em um post de blog que não encontrou 'evidências de que dados de usuários da OpenAI foram acessados, que nossos sistemas de produção ou propriedade intelectual foram comprometidos, ou que nosso software foi alterado'.
A OpenAI disse que os dispositivos dos funcionários foram comprometidos por um ataque anterior ao TanStack, uma biblioteca open source popular que ajuda desenvolvedores a criar aplicativos web. Na segunda-feira, o TanStack divulgou o ataque e publicou uma análise pós-morte, afirmando que hackers publicaram 84 versões maliciosas de seu software em uma janela de seis minutos. O projeto disse que um pesquisador detectou o ataque em 20 minutos.
As versões maliciosas do TanStack incluíam malware projetado para roubar credenciais de computadores onde o software foi instalado e se autopropagar para outros sistemas. A OpenAI, por sua vez, disse que viu acesso não autorizado e roubo de credenciais 'em um subconjunto limitado de repositórios de código fonte interno' aos quais os dois funcionários impactados tinham acesso. Segundo a gigante da IA, 'apenas material de credencial limitado' foi retirado dos repositórios de código afetados.
Como precaução, a OpenAI informou que está rotacionando os certificados digitais contidos nos repositórios afetados, exigindo que usuários macOS atualizem o aplicativo. O incidente destaca a crescente vulnerabilidade na cadeia de suprimentos de software e a necessidade de medidas de segurança reforçadas.

