A OpenAI anunciou a rotação de seus certificados de assinatura de código para macOS após um ataque à cadeia de suprimentos que comprometeu um pacote Axios. No dia 31 de março de 2026, um fluxo de trabalho legítimo da empresa baixou e executou uma versão comprometida do pacote Axios (1.14.1), que foi utilizada para implantar malware em dispositivos. Embora a investigação não tenha encontrado evidências de que o certificado de assinatura foi comprometido, a OpenAI decidiu tratá-lo como potencialmente vulnerável e revogá-lo por precaução. Os usuários de macOS devem atualizar seus aplicativos OpenAI para versões assinadas com o novo certificado, pois as versões antigas podem parar de funcionar a partir de 8 de maio de 2026. O ataque foi atribuído a atores de ameaças da Coreia do Norte, que usaram engenharia social para comprometer a conta de um mantenedor do projeto e publicar versões maliciosas do pacote. A OpenAI está colaborando com a Apple para garantir que nenhum software futuro possa ser notariado com o certificado antigo.
Fonte: https://www.bleepingcomputer.com/news/security/openai-rotates-macos-certs-after-axios-attack-hit-code-signing-workflow/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
13/04/2026 • Risco: ALTO
MALWARE
OpenAI revoga certificados de assinatura após ataque à cadeia de suprimentos
RESUMO EXECUTIVO
O ataque à cadeia de suprimentos que comprometeu o pacote Axios pode ter implicações significativas para a segurança de aplicativos da OpenAI, exigindo que os CISOs tomem medidas imediatas para proteger suas infraestruturas e dados de usuários. A revogação do certificado de assinatura é uma ação preventiva importante, mas a vigilância contínua é necessária para evitar futuros compromissos.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados à recuperação de dados e à mitigação de danos causados por malware.
Operacional
Possível instalação de malware em dispositivos macOS, Windows e Linux.
Setores vulneráveis
['Tecnologia', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
Versão comprometida do pacote Axios: 1.14.1
Indicador
Data de revogação do certificado: 8 de maio de 2026
Contexto BR
Acesso a dispositivos em múltiplos sistemas operacionais: macOS, Windows e Linux
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se os aplicativos OpenAI estão atualizados para a versão mais recente.
2
Atualizar todos os aplicativos OpenAI para versões assinadas com o novo certificado.
3
Monitorar o uso do certificado antigo e qualquer atividade suspeita relacionada a ele.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de aplicativos amplamente utilizados e a possibilidade de compromissos de segurança que podem afetar a integridade dos dados dos usuários.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
