Biblioteca maliciosa compromete cadeia de distribuição e acende alerta na Apple
OpenAI — A companhia revelou recentemente que um fluxo de trabalho do GitHub Actions foi manipulado para incluir a biblioteca falsa “Axios”, corrompendo todos os aplicativos assinados para macOS e disparando a revisão imediata de seus certificados de segurança.
- Em resumo: certificados dos apps ChatGPT Desktop, Codex, Codex CLI e Atlas serão revogados e substituídos.
Como a brecha foi explorada
Especialistas classificam o incidente como ataque de supply chain, quando o ponto frágil não é o código-fonte principal, mas o processo de construção. No caso, o workflow automatizado do GitHub Actions — adotado por 90% das empresas que hospedam projetos na plataforma, segundo o The Hacker News — validava os binários antes de enviá-los à Apple para assinatura digital. A adulteração baixava a versão maliciosa de “Axios”, introduzindo payload capaz de corromper executáveis em macOS.
“A empresa está tomando medidas para proteger o processo que certifica seus aplicativos para macOS.”
Impacto para usuários e lições para o mercado
Apesar de a OpenAI afirmar que nenhum dado sensível foi extraído, a revogação de certificados faz com que versões antigas sejam automaticamente bloqueadas pelo Gatekeeper e pelo XProtect, camadas nativas de defesa do sistema Apple. Para o ecossistema corporativo, o caso reforça a urgência de verificar dependências externas e de adotar assinaturas reprodutíveis — prática que a CNCF recomenda em seus guias de segurança de software.
Do lado da Apple, episódios anteriores, como a vulnerabilidade do XcodeGhost em 2015, mostraram que a cadeia de compilação pode ser um vetor tão perigoso quanto brechas no próprio código-fonte. Já o GitHub vem ampliando recursos como verificação de integridade de actions e assinatura criptográfica de pacotes, sinalizando que cadeias CI/CD precisam de monitoramento contínuo.
O que você acha? Ataques à cadeia de suprimentos vão se tornar ainda mais frequentes? Para acompanhar outras análises de cibersegurança, acesse nossa editoria especializada.
Crédito da imagem: Divulgação / OpenAI
