OpenAI rotaciona certificados após ataque de supply-chain via TanStack; Mistral AI também foi atingida

A OpenAI confirmou que dois dispositivos corporativos foram comprometidos em um ataque de supply-chain ligado à biblioteca open-source TanStack e a pacotes maliciosos no npm e PyPI distribuídos por várias empresas de inteligência artificial. A companhia revogou e está rotacionando os certificados de assinatura de seus aplicativos: usuários do macOS têm até 12 de junho de 2026 para atualizar, caso contrário ficarão sem suporte e podem perder funcionalidades. A Mistral AI também foi atingida pela mesma campanha, com partes de sua base de código colocadas à venda pelos atacantes.

O que aconteceu

A OpenAI publicou nesta semana um post detalhando ações de resposta a um ataque de cadeia de suprimentos que afetou indiretamente parte de sua infraestrutura corporativa. O vetor inicial é uma campanha em expansão envolvendo a biblioteca TanStack, amplamente usada em aplicações JavaScript modernas, somada a pacotes adicionais no npm e no PyPI associados a múltiplas empresas de IA.

Segundo a empresa, dois dispositivos de funcionários foram comprometidos no ambiente corporativo. A OpenAI contratou uma firma de resposta a incidentes para investigar e conter o evento, isolou os sistemas atingidos, revogou sessões ativas e rotacionou credenciais. A companhia diz não ter encontrado evidências de roubo de dados de clientes.

Como medida de defesa em profundidade, os certificados de assinatura usados para validar os aplicativos da OpenAI foram substituídos. Usuários do macOS precisam instalar a atualização até 12 de junho — depois dessa data, o suporte deixa de chegar e o produto pode parar de funcionar. Já as versões para Windows e iOS não exigem ação por parte do usuário final.

Como o ataque funciona

O comprometimento da TanStack permitiu aos atacantes distribuir, via npm e PyPI, pacotes contaminados em projetos que dependem direta ou transitivamente dessa biblioteca. Uma vez instalados em máquinas de desenvolvedores ou pipelines de build, esses pacotes executam código que coleta credenciais, tokens e, em alguns casos, exfiltra trechos de código-fonte aos quais o usuário comprometido tem acesso.

No caso da OpenAI, a empresa descreve atividade consistente com o comportamento público do malware: acesso não autorizado e atividade focada em exfiltração de credenciais em um subconjunto limitado de repositórios internos. Os repositórios afetados incluem código dos clientes iOS, macOS e Windows. Material credencial limitado foi efetivamente exfiltrado, mas a OpenAI sustenta que nenhuma outra informação foi impactada.

“Observamos atividade consistente com o comportamento publicamente descrito do malware, incluindo acesso não autorizado e atividade de exfiltração focada em credenciais, em um subconjunto limitado de repositórios internos de código aos quais os dois funcionários impactados tinham acesso.”

OpenAI, comunicado oficial

Pesquisadores observam ainda um detalhe inquietante: o payload incluía comportamento destrutivo voltado a regiões geográficas específicas, indício de operação intencional e direcionada, não de uma campanha oportunista. Esse refinamento eleva a campanha do TanStack a um patamar próximo de operações de Estado-nação em termos de planejamento.

Quem mais foi afetado

• Mistral AI — confirmou ter tido um de seus sistemas de gerenciamento de codebase “temporariamente” comprometido em 12 de maio através do mesmo vetor de supply chain
• TeamPCP, grupo que reivindica a operação, anunciou a venda de repositórios internos e código-fonte alegadamente furtados da Mistral
• Múltiplas empresas de IA com pacotes npm/PyPI próprios — diversos pacotes adicionais foram contaminados na mesma onda
• Desenvolvedores que instalaram versões maliciosas da TanStack em ambientes locais ou em pipelines de CI/CD
• Clientes finais que executam aplicativos macOS da OpenAI sem aplicar a atualização até 12 de junho

Análise

O caso TanStack consolida uma tendência que se tornou impossível de ignorar: a economia de IA generativa, com seu ritmo acelerado de releases e dependência intensa de bibliotecas open-source, virou um alvo de altíssimo valor para operadores de supply-chain attacks. Diferentemente de incidentes anteriores envolvendo pacotes obscuros e tipo-squatting, este ataque mira componentes amplamente adotados em stacks de produção — o que multiplica o raio de explosão.

A inclusão de destruição direcionada por geolocalização no payload é particularmente notável. Esse tipo de lógica costuma aparecer em malware patrocinado por Estados, não em campanhas financeiramente motivadas. A combinação com a publicação de código-fonte furtado por um grupo que assina como TeamPCP sugere convergência entre objetivos: dano operacional + roubo de propriedade intelectual + monetização via venda em fóruns underground.

O episódio também expõe um limite das defesas tradicionais. A OpenAI, mesmo com programa de segurança maduro, viu credenciais saírem por meio de duas máquinas de funcionários — não por uma falha em servidores produtivos. Quando o vetor é uma dependência instalada em estações de trabalho de desenvolvedores, controles centrados em workloads de produção não bastam: é preciso tratar o endpoint do engenheiro como zona de alto risco e o gerenciamento de dependências como controle de segurança crítico.

Recomendações práticas

• Auditar imediatamente projetos que dependem direta ou indiretamente do TanStack — verificar versões instaladas contra a lista de versões comprometidas publicada pelos mantenedores
• Forçar reinstalação limpa de node_modules e ambientes virtuais Python em estações de desenvolvedores que tocaram em projetos afetados
• Rotacionar todas as credenciais e tokens que possam ter sido expostos em máquinas comprometidas (npm, GitHub, AWS, GCP, OpenAI, etc.)
• Implementar lockfiles com hashes verificados e habilitar revisão obrigatória de novas versões de dependências críticas
• Para usuários do macOS da OpenAI: atualizar o aplicativo antes de 12 de junho de 2026
• Aplicar políticas de allowlist em registries internos para impedir pull direto de pacotes não revisados
• Habilitar detecção de comportamento anômalo em endpoints de desenvolvedores — exfiltração de credenciais raramente passa silenciosa em EDR moderno
• Tratar repositórios privados como dados sensíveis: monitorar acessos automatizados, eventos de clone em massa e tokens com permissões amplas

Fonte: The Record