Github Actions

A OpenAI anunciou a descoberta de uma vulnerabilidade em seu fluxo de trabalho do GitHub Actions, que comprometeu diversos aplicativos para macOS, incluindo o ChatGPT Desktop e Codex. A falha permitiu que hackers explorassem um pacote malicioso chamado Axios, que corrompia os aplicativos da empresa. Apesar do incidente, a OpenAI garantiu que não houve exposição de dados de usuários nem danos aos seus sistemas internos. Como medida de precaução, a empresa está revogando e substituindo o certificado de segurança dos aplicativos afetados, que agora serão bloqueados pelas proteções do macOS. O incidente ocorreu em um contexto de crescente preocupação com ataques de supply chain, especialmente após um ataque atribuído a um grupo hacker norte-coreano. A OpenAI está implementando medidas adicionais para proteger seus processos de certificação de aplicativos, destacando a importância de segurança em fluxos de trabalho de desenvolvimento de software.

Recentemente, dois workflows do GitHub Actions, mantidos pela empresa de segurança da cadeia de suprimentos Checkmarx, foram comprometidos por um malware conhecido como ‘TeamPCP Cloud stealer’. Este ataque, que segue a violação do scanner de vulnerabilidades Trivy, permite que os atacantes roubem credenciais e segredos relacionados a serviços como AWS, Google Cloud e Azure. O malware foi identificado como parte de um ataque em cadeia, onde as credenciais roubadas são utilizadas para comprometer ações adicionais em repositórios afetados. O CVE associado ao ataque é o CVE-2026-33634, com uma pontuação CVSS de 9.4, indicando um risco crítico. Os atacantes utilizam técnicas de engano, como domínios semelhantes aos de fornecedores legítimos, para evitar a detecção. Além disso, o malware pode se instalar de forma persistente em sistemas não-CI, aumentando o risco de novos ataques. Para mitigar essa ameaça, recomenda-se a rotação imediata de segredos e tokens, auditoria de logs e monitoramento de conexões de rede suspeitas. A situação destaca a importância da segurança em ambientes de CI/CD e a necessidade de vigilância constante contra ameaças emergentes.