No início desta semana, um ataque informático a projectos de código aberto afectou dezenas de empresas em todo o mundo. Na passada quarta-feira, a OpenAI confirmou que os dispositivos de dois dos seus funcionários foram comprometidos na sequência deste incidente. A notícia, avançada pelo site TechCrunch, indica que os piratas informáticos conseguiram roubar dados internos, embora a empresa responsável pelo ChatGPT garanta que a situação principal está controlada e mitigada.
De acordo com uma publicação oficial da OpenAI, a investigação interna concluiu que não há provas de acesso a dados pessoais dos utilizadores. Além disso, os sistemas de produção, a propriedade intelectual e o software da empresa não sofreram qualquer alteração. O roubo limitou-se a credenciais de acesso num subconjunto restrito de repositórios de código-fonte interno, aos quais os dois trabalhadores afectados tinham permissão de entrada.
Como medida de precaução, a empresa decidiu renovar os certificados digitais usados para assinar os seus produtos, uma vez que estes estavam presentes nos repositórios afectados. Esta acção vai obrigar os utilizadores do sistema operativo macOS a actualizar a aplicação para continuarem a executar tarefas diárias sem interrupções. A segurança continua a ser uma prioridade para a tecnológica, que recentemente até disponibilizou uma nova ferramenta para detetar e corrigir vulnerabilidades de software, num esforço para reforçar as suas defesas e as da comunidade de programadores.
O ataque à biblioteca TanStack
A origem deste incidente remonta a um ataque anterior à TanStack, uma popular biblioteca de código aberto que ajuda os programadores a construir aplicações para o browser e outras plataformas web. Na passada segunda-feira, os responsáveis pelo projecto revelaram que os atacantes publicaram 84 versões maliciosas do software numa janela de apenas seis minutos. Felizmente, um investigador detectou a ameaça em vinte minutos, o que evitou um desastre maior.
Estas versões incluíam software malicioso desenhado especificamente para roubar credenciais dos computadores onde estava instalado. Além disso, o código tinha a capacidade de se propagar automaticamente a outros sistemas ligados à mesma rede.
Ameaças à cadeia de abastecimento
Ainda não é claro quem está por trás do ataque à TanStack. No entanto, o artigo do TechCrunch refere que incidentes semelhantes no passado foram atribuídos a um grupo conhecido como TeamPCP. Outros grupos têm usado tácticas idênticas para comprometer projectos de grande escala. Em Março, piratas informáticos norte-coreanos sequestraram o Axios, uma ferramenta de desenvolvimento bastante utilizada, e introduziram código malicioso que poderia ter infectado milhões de programadores. Já em Maio, hackers chineses foram acusados de um ataque semelhante a milhares de computadores Windows que executavam o software Daemon Tools.
Neste tipo de ataques à cadeia de abastecimento, em vez de elegerem empresas específicas como alvo, os criminosos tomam o controlo de projectos de código aberto. A partir daí, lançam software malicioso disfarçado de actualizações normais e inofensivas. Esta estratégia permite comprometer dezenas de alvos com uma única intrusão, o que acaba por espalhar os danos drasticamente por toda a Internet. O incidente com a OpenAI, que também lançou recentemente o modelo GPT-5.5 para milhares de funcionários da Nvidia, mostra que até as gigantes tecnológicas estão vulneráveis a estas falhas indirectas, mesmo quando o seu próprio software é optimizado e seguro.
