A OpenAI revelou que uma falha de segurança em um fluxo de trabalho do GitHub Actions, plataforma de automação nativa do GitHub para desenvolvimento de softwares, pode ter comprometido boa parte de seus aplicativos para macOS.
- Hackers “sequestram” recurso de convite a equipes da OpenAI para roubar dados
- Novo malware usa API do ChatGPT para se "esconder" e roubar dados
Usada para legitimar os apps da empresa para dispositivos da Apple, o GitHub Actions foi comprometido devido a uma vulnerabilidade que, ao ser explorada ilegalmente, impulsionou o download de uma biblioteca maliciosa chamada Axios, que corrompia os aplicativos.
A boa notícia, segundo a OpenAI, é que dados de usuários não foram expostos por causa do incidente, tampouco houve danificação dos sistemas internos da companhia por trás do ChatGPT.
-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-
Como precaução, a empresa afirmou em comunicado que também está “tomando medidas para proteger o processo que certifica seus aplicativos para macOS”.
Ataque de supply chain
O que chamou atenção dos especialistas foi que o incidente da OpenAI foi divulgado uma semana depois que o Google Threat Intelligence Group (GTIG) atribuiu um ataque de supply chain a um grupo hacker norte-coreano identificado como UNC1069.
O caso consistiu no sequestro de um pacote npm para disseminar duas versões corrompidas que contavam com um backdoor capaz de infectar sistemas Windows, macOS e Linux. Algo similar ocorreu com a vulnerabilidade da OpenAI, cujo fluxo de trabalho GitHub Actions incluía a versão comprometida do Axios.
Entre os aplicativos que podem ter sofrido a violação de segurança estão ChatGPT Desktop, Codex, Codex CLI e Atlas. A OpenAI garante, porém, que o certificado de segurança desses apps não foram exfiltrados pelo payload malicioso, mas afirmou que vai revogá-lo e substituí-lo como medida de contenção.
Diante desse cenário, aplicativos que foram assinados pelo certificado comprometido serão bloqueados pelas proteções de segurança do macOS, impedindo que eles sejam baixados ou executados na versão anterior.
Leia a matéria no Canaltech.