Domínios maliciosos estão utilizando o nome ChatGPT para roubar chaves de API

A ESET identificou que, no segundo semestre de 2023, o nome "ChatGPT" foi usado em domínios maliciosos para roubar chaves API legítimas da OpenAI. De acordo com a telemetria da ESET, foram registradas mais de 650 mil tentativas de acesso a esses domínios maliciosos, que faziam referência ao ChatGPT com o claro objetivo de se passar pela identidade do site real open܂ia܂com e aproveitar a popularidade dessa tecnologia nas buscas na web.

Neste caso, as ameaças identificadas incluíram aplicativos da web que manipulam de maneira insegura as chaves API da OpenAI e extensões maliciosas do navegador Google Chrome para o ChatGPT.

A chave API é um identificador único que autentica e autoriza usuários, desenvolvedores ou programas, limitando a quantidade de dados recuperados ou restringindo o uso de uma API a um conjunto específico de usuários ou aplicativos. As chaves API têm muitas funções, desde serviços da web até aplicativos móveis. Por exemplo, um aplicativo de meteorologia pode usar uma chave API de um serviço específico para obter dados atualizados sobre o clima, ou aplicativos de pagamento incorporados em um site de compras online usam uma chave API da plataforma de pagamentos.

Alguns desses serviços de API são pagos, outros gratuitos, e, no caso da OpenAI, cada usuário final gera um token, que é cobrado do projeto onde essa API foi incorporada. O usuário final não precisa conhecer essa chave, que é conhecida pelo desenvolvedor e, de acordo com a ESET, deve ser manuseada com extrema cautela ao integrar serviços de terceiros.

Como exemplo, o site do ChatGPT em chat.apple000[.] top solicita aos usuários suas chaves API da OpenAI e as envia para seu próprio servidor. Esta aplicação web está vinculada ao código-fonte aberto no GitHub a partir do qual foi construída e, ao consultar o Censys, procurando por páginas da web HTML que usam o título "ChatGPT Next Web", mais de 7.000 servidores hospedam uma cópia desta aplicação web. "Não é possível determinar, de qualquer forma, se foram criados como parte de campanhas de phishing para chaves API da OpenAI ou se foram expostos na internet por outra razão. É claro que não se deve inserir a chave da OpenAI em aplicativos que enviem informações a um servidor duvidoso", explicou Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET América Latina.

Além dessas aplicações da web, quase todos os bloqueios de nomes de domínio maliciosos inspirados no ChatGPT, observados na telemetria da ESET, na segunda metade de 2023, estavam relacionados a extensões do Chrome detectadas como JS/Chromex܂Agent܂BZ. Uma delas é gptforchrome[.] com, que leva à extensão maliciosa ChatGPT for Search - Support GPT-4 na Chrome Web Store (informada à Google pelos especialistas da ESET Research).

A ESET compartilha algumas dicas de segurança para evitar a perda de chaves:

• Evitar compartilhar a chave API;
• Utilizar um gerenciador de senhas para armazená-la com segurança;
• Criar uma chave robusta com um forte ciframento;
• Alterar a chave API se acreditar que foi comprometida;
• Certificar-se de remover as extensões maliciosas do navegador em todos os dispositivos, especialmente se a sincronização estiver habilitada;
• Prestar muita atenção às extensões do navegador antes de instalá-las;

Utilizar uma solução de segurança confiável e em camadas que possa detectar sites falsos e extensões potencialmente maliciosas.