**A OpenAI** revelou que um fluxo de trabalho do **GitHub Actions** usado para assinar seus aplicativos macOS levou ao download da biblioteca maliciosa **Axios** em 31 de março. A empresa declarou: "Por excesso de cautela, estamos tomando medidas para proteger o processo que certifica que nossos aplicativos macOS são aplicativos legítimos da **OpenAI**. Não encontramos evidências de que dados de usuários da **OpenAI** tenham sido acessados, que nossos sistemas ou propriedade intelectual tenham sido comprometidos, ou que nosso software tenha sido alterado." Esta divulgação segue uma atribuição do **Google Threat Intelligence Group (GTIG)**, ligando o comprometimento da cadeia de suprimentos do pacote **npm** **Axios** ao grupo de hackers norte-coreano **UNC1069**. ### Detalhes do Comprometimento do Axios O ataque envolveu o sequestro da conta **npm** do mantenedor do pacote para enviar duas versões envenenadas, 1.14.1 e 0.30.4. Essas versões continham uma dependência maliciosa chamada "plain-crypto-js", que implantou um backdoor multiplataforma chamado WAVESHAPER.V2 visando sistemas Windows, macOS e Linux. **A OpenAI** confirmou que seu fluxo de trabalho do **GitHub Actions**, parte de seu processo de assinatura de aplicativos macOS, baixou e executou a versão 1.14.1 do **Axios**. Este fluxo de trabalho tinha acesso a um certificado e material de notarização usados para assinar ChatGPT Desktop, Codex, Codex CLI e Atlas. "Nossa análise do incidente concluiu que o certificado de assinatura presente neste fluxo de trabalho provavelmente não foi extraído com sucesso pelo payload malicioso devido ao momento da execução do payload, injeção de certificado no job, sequenciamento do próprio job e outros fatores mitigadores", disse a empresa. ### Revogação de Certificado e Impacto Apesar de não encontrar evidências de exfiltração de dados, **a OpenAI** está tratando o certificado como comprometido, revogando-o e rotacionando-o. Como resultado, versões mais antigas de todos os seus aplicativos desktop macOS não receberão mais atualizações ou suporte a partir de 8 de maio de 2026. Aplicativos assinados com o certificado anterior serão bloqueados pelas proteções de segurança do macOS por padrão, impedindo seu download ou lançamento. Os lançamentos mais recentes assinados com seu certificado atualizado são: * ChatGPT Desktop - 1.2026.071 * Codex App - 26.406.40811 * Codex CLI - 0.119.0 * Atlas - 1.2026.84.2 **A OpenAI** também está colaborando com a **Apple** para garantir que o software assinado com o certificado anterior não possa ser recém-notarizado. A janela de 30 dias até 8 de maio de 2026 tem como objetivo minimizar a interrupção para o usuário e permitir tempo suficiente para atualizações. **A OpenAI** declarou: "No caso de o certificado ter sido extraído com sucesso por um ator malicioso, ele poderia usá-lo para assinar seu próprio código, fazendo com que parecesse software legítimo da **OpenAI**. Paramos novas notarizações de software usando o certificado antigo, portanto, novo software assinado com o certificado antigo por terceiros não autorizados seria bloqueado por padrão pelas proteções de segurança do macOS, a menos que um usuário as contorne explicitamente." ### Dois Ataques à Cadeia de Suprimentos Agitam Março A violação do **Axios** foi um de dois grandes ataques à cadeia de suprimentos em março visando o ecossistema de código aberto. O outro incidente visou o **Trivy**, um scanner de vulnerabilidades mantido pela **Aqua Security**, resultando em impactos em cascata em cinco ecossistemas, afetando inúmeras bibliotecas populares que dependem dele. O ataque, atribuído ao grupo de cibercriminosos **TeamPCP** (também conhecido como UNC6780), implantou um ladrão de credenciais chamado SANDCLOCK para extrair dados sensíveis de ambientes de desenvolvedores. As credenciais roubadas foram então usadas para comprometer pacotes **npm** e enviar um worm auto-propagável chamado CanisterWorm. Dias depois, segredos roubados da intrusão do **Trivy** foram usados para injetar o mesmo malware em dois fluxos de trabalho do **GitHub Actions** mantidos pela **Checkmarx**. Os atacantes então publicaram versões maliciosas de **LiteLLM** e **Telnyx** no Python Package Index (PyPI), ambos os quais usam **Trivy** em seu pipeline de CI/CD. **A Trend Micro** observou: "O comprometimento do **Telnyx** indica uma mudança contínua nas técnicas usadas na atividade de cadeia de suprimentos do **TeamPCP**, com ajustes em ferramentas, métodos de entrega e cobertura de plataforma", em uma análise do ataque. "Em apenas oito dias, o ator pivotou entre scanners de segurança, infraestrutura de IA e, agora, ferramentas de telecomunicações, evoluindo sua entrega de Base64 inline para auto-execução .pth, e finalmente para esteganografia WAV de arquivo dividido, enquanto também expandia de apenas Linux para segmentação de plataforma dupla com persistência no Windows." Em sistemas Windows, o hack resultou na implantação de um executável chamado "msbuild.exe" que emprega técnicas de ofuscação para evadir detecção e extrai DonutLoader, um carregador de shellcode, de uma imagem PNG dentro do binário para carregar um trojan completo e um beacon associado ao AdaptixC2, um framework de comando e controle (C2) de código aberto. Análises adicionais da campanha, agora identificada como **CVE-2026-33634**, foram publicadas por vários fornecedores de cibersegurança: * [**CrowdStrike**](https://www.crowdstrike.com/en-us/blog/from-scanner-to-stealer-inside-the-trivy-action-supply-chain-compromise/) * [FUTURESEARCH](https://futuresearch.ai/blog/no-prompt-injection-required/) * [Hexastrike](https://hexastrike.com/resources/blog/threat-intelligence/ringing-in-chaos-how-teampcp-weaponized-the-telnyx-python-sdk/) * [Kudelski Security](https://kudelskisecurity.com/research/investigating-two-variants-of-the-trivy-supply-chain-compromise) * [**Microsoft**](https://www.microsoft.com/en-us/security/blog/2026/03/24/detecting-investigating-defending-against-trivy-supply-chain-compromise/) * [OpenSourceMalware](https://opensourcemalware.com/blog/teampcp-supply-chain-campaign) * [Palo Alto Networks Unit 42](https://unit42.paloaltonetworks.com/teampcp-supply-chain-attacks/) * [ReversingLabs](https://www.reversinglabs.com/blog/teampcp-supply-chain-attack-spreads) * [SOCRadar](https://socradar.io/blog/teampcp-checkmarx-github-actions-attack/) * [Sonatype](https://www.sonatype.com/blog/compromised-litellm-pypi-package-delivers-multi-stage-credential-stealer) * [StepSecurity](https://www.stepsecurity.io/blog/litellm-credential-stealer-hidden-in-pypi-wheel) * [Snyk](https://snyk.io/blog/poisoned-security-scanner-backdooring-litellm/) * [Trend Micro](https://www.trendmicro.com/en_us/research/26/c/inside-litellm-supply-chain-compromise.html) * [TRUESEC](https://www.truesec.com/hub/blog/malicious-pypi-package-litellm-supply-chain-compromise) * [Wiz](https://www.wiz.io/blog/threes-a-crowd-teampcp-trojanizes-litellm-in-continuation-of-campaign) A onda de comprometimentos da cadeia de suprimentos do **TeamPCP** pode ter chegado ao fim, mas o grupo mudou seu foco para monetizar os saques de credenciais existentes, unindo-se a outros grupos financeiramente motivados como Vect, LAPSUS$ e ShinyHunters. Evidências indicam que o ator de ameaça também lançou uma operação proprietária de ransomware sob o nome CipherForce.