A OpenAI confirmou nesta quarta-feira (14/05) que dois dispositivos de funcionários foram comprometidos em um ataque cibernético à cadeia de suprimentos envolvendo a biblioteca de código aberto TanStack. O incidente permitiu que invasores acessassem um subconjunto limitado de repositórios de código-fonte internos, resultando na exfiltragem de credenciais sensíveis.
A empresa afirmou que o ataque faz parte da campanha denominada “Mini Shai-Hulud”, atribuída ao grupo de extorsão TeamPCP. Conforme a investigação da companhia, não houve comprometimento de dados de usuários do ChatGPT, sistemas de produção ou propriedade intelectual. A OpenAI destacou que a ação limitou-se à extração de materiais de credenciais acessíveis aos colaboradores afetados.
Como medida preventiva, a OpenAI isolou os sistemas atingidos, revogou sessões e rotacionou credenciais em todos os repositórios impactados. Além disso, a empresa iniciou a renovação de seus certificados de assinatura de código para as plataformas iOS, macOS, Windows e Android. Usuários da versão para macOS devem atualizar seus aplicativos até o dia 12 de junho de 2026, visto que versões assinadas com os certificados antigos podem apresentar falhas de execução ou interrupções no recebimento de atualizações devido ao processo de notariado da Apple.
Este caso sublinha os riscos crescentes enfrentados por empresas de tecnologia no que diz respeito ao ecossistema de software de terceiros. A exploração de falhas em pacotes de desenvolvimento populares, como o TanStack, demonstra como atacantes conseguem contornar perímetros corporativos através de ferramentas confiáveis pelos desenvolvedores.
A ocorrência também coloca em evidência a necessidade de maior rigor na gestão de dependências de software em ambientes de inteligência artificial. Para organizações que lidam com grandes volumes de dados e infraestruturas complexas, a rápida identificação de brechas em ferramentas de automação e integração contínua (CI/CD) torna-se o novo padrão de segurança necessário para garantir a integridade das operações.
