A OpenAI confirmou um incidente envolvendo seu processo de desenvolvimento após a utilização de uma biblioteca comprometida durante a assinatura de seus aplicativos para macOS. A empresa afirmou que, apesar da gravidade potencial do cenário, não houve evidências de acesso a dados de usuários ou comprometimento de sistemas internos.

O caso está diretamente ligado a um ataque de Supply Chain que afetou o ecossistema open source, explorando a popular biblioteca Axios, amplamente utilizada para requisições HTTP em aplicações modernas. Segundo análises, hackers conseguiram comprometer a conta de um mantenedor do pacote no npm, inserindo versões maliciosas que incluíam uma dependência adulterada chamada “plain-crypto-js”. Essa biblioteca era responsável por instalar um backdoor multiplataforma, identificado como WAVESHAPER.V2, capaz de infectar sistemas Windows, macOS e Linux.

Cadeia de ataque: como o comprometimento aconteceu

O incidente teve início dentro do pipeline de desenvolvimento da própria OpenAI. Um workflow automatizado do GitHub Actions, utilizado para assinar digitalmente seus aplicativos macOS, acabou baixando e executando uma versão comprometida do Axios (1.14.1). Esse processo possuía acesso a materiais altamente sensíveis, como certificados de assinatura e dados de notarização — elementos essenciais para validar a autenticidade de softwares no ecossistema Apple.

Na prática, isso significa que, caso os hackers tivessem conseguido exfiltrar esse certificado, poderiam assinar softwares maliciosos fazendo-os parecer legítimos aos olhos do sistema operacional e dos usuários. Ainda assim, a análise técnica indicou que fatores como o tempo de execução do malware e a forma como o certificado era injetado no pipeline impediram que essa exfiltração fosse bem-sucedida.

Resposta da OpenAI e impacto para usuários

Mesmo sem evidências concretas de exploração, a OpenAI adotou uma postura conservadora e tratou o certificado como potencialmente comprometido. Como medida de mitigação, a empresa revogou o certificado anterior e iniciou sua substituição por um novo.

Isso traz impactos diretos para usuários: versões antigas dos aplicativos da OpenAI para macOS deixarão de receber suporte e atualizações a partir de 8 de maio de 2026. Além disso, o próprio macOS passará a bloquear automaticamente softwares assinados com o certificado antigo, a menos que o usuário force manualmente a execução — algo que aumenta significativamente o nível de segurança do ecossistema.

Um cenário maior: ataques em escala contra o open source

O incidente com a Axios não foi isolado. Ele faz parte de uma onda crescente de ataques de Supply Chain que vêm explorando a confiança implícita em bibliotecas open source. Outro caso recente envolveu a ferramenta Trivy, utilizada para análise de vulnerabilidades, que também foi comprometida e utilizada como vetor para disseminação de malware em pipelines de CI/CD.

Nesse contexto, grupos hackers têm adotado uma estratégia clara: comprometer ferramentas amplamente utilizadas por desenvolvedores, especialmente aquelas com privilégios elevados, como scanners de segurança ou automações de build. Isso permite acesso a ambientes críticos, credenciais sensíveis e infraestrutura cloud, ampliando drasticamente o impacto dos ataques.

Relatórios indicam que centenas de milhares de credenciais podem ter sido expostas nesses incidentes, alimentando novos ataques, incluindo ransomware, extorsão e invasões a ambientes SaaS. A rapidez com que essas credenciais estão sendo utilizadas — muitas vezes em menos de 24 horas — reforça o nível de sofisticação e organização desses grupos.

Tendência preocupante: confiança implícita virou risco

O que esses incidentes deixam claro é uma mudança estrutural no cenário de ameaças. O modelo tradicional de confiança em dependências open source está sendo explorado de forma agressiva.

Empresas que conseguiram mitigar melhor os impactos foram aquelas que já adotavam práticas como verificação explícita de dependências, uso de credenciais de curta duração, isolamento de pipelines e auditorias constantes de código. Por outro lado, ambientes que dependem de automações amplas e permissivas se tornaram alvos ideais.

Esse tipo de ataque não explora falhas técnicas tradicionais, mas sim processos e confiança — o que o torna ainda mais difícil de detectar e conter.