Gói npm có vẻ hợp pháp. Nó có kho lưu trữ GitHub đang hoạt động, lịch sử phát triển ổn định và khoảng 29.000 lượt tải xuống hàng tuần. Dành cho nhà phát triển sử dụng Codex OpenAInó cung cấp chính xác những gì nó đã quảng cáo: giao diện người dùng web từ xa cho công cụ mã hóa AI.
Nhưng trong tháng qua, mọi lệnh gọi codexui-android cũng âm thầm đọc nội dung tệp xác thực Codex của người dùng và gửi nó đến máy chủ do kẻ tấn công kiểm soát. Dữ liệu bị đánh cắp bao gồm mã thông báo truy cập, mã thông báo làm mới, mã thông báo ID và ID tài khoản, mọi thứ cần thiết để mạo danh nhà phát triển vô thời hạn.
“Refresh_token không hết hạn,” Nhà nghiên cứu An ninh Aikido Charlie Eriksen đã viết. “Kẻ tấn công đang giữ nó có thể âm thầm mạo danh bạn vô thời hạn.”
Nó hoạt động như thế nào
Cuộc tấn công phức tạp một cách bất thường đối với sự xâm phạm chuỗi cung ứng npm. Không giống như các cuộc tấn công chuỗi cung ứng thông thường dựa vào lỗi đánh máy hoặc gói dùng một lần, codexui-android là một công cụ chức năng đang được phát triển tích cực. Của nó Kho lưu trữ GitHub vẫn sạch sẽ. Mã độc chỉ tồn tại trong bản dựng npm.
Gói này trích xuất nội dung của tệp ~/.codex/auth.json của Codex, bộ đệm thông tin xác thực văn bản gốc được tạo bất cứ khi nào người dùng đăng nhập thông qua ứng dụng Codex, CLI hoặc tiện ích mở rộng IDE. Sau đó, nó sẽ gửi những thông tin đăng nhập đó đến Sentry.anyclaw[.]store, tên máy chủ được chọn để bắt chước lính gácnền tảng theo dõi lỗi hợp pháp.
Chức năng bất chính này được giới thiệu khoảng một tháng sau khi gói được xuất bản lần đầu tiên, một chiến thuật phổ biến để xây dựng lòng tin của người dùng trước khi triển khai tải trọng. bản ghi WHOIS show miền trích xuất đã được đăng ký vào ngày 12 tháng 4 năm 2026, chỉ hai ngày sau khi phiên bản gói đầu tiên (0.1.72) được tải lên npm. Mã độc xuất hiện từ phiên bản 0.1.82 trở đi.
Cuộc tấn công tương tự, từ Cửa hàng Play
Gói npm không phải là vectơ phân phối duy nhất. Aikido phát hiện ra rằng một ứng dụng Android có tên OpenClaw Codex Claude AI Agentđược xuất bản bởi một nhà phát triển có tên BrutalStrike, đang chạy cùng gói npm bên trong hộp cát PRoot trên thiết bị của người dùng. Ứng dụng đã tích lũy được hơn 50.000 lượt tải xuống trên Google Play.
Ứng dụng BrutalStrike thứ hai, được gọi đơn giản là Codex, đã có hơn 10.000 lượt tải xuống và chứa cùng một chuỗi lọc. Vì cả hai ứng dụng đều không ghim phiên bản gói npm cụ thể nên chúng tự động lấy bất kỳ phiên bản nào hiện đã được xuất bản, nghĩa là mã độc sẽ được gửi tới người dùng di động ngay khi nó xuất hiện.
Bề mặt tấn công kết hợp, khoảng 29.000 lượt tải xuống npm hàng tuần cộng với hơn 60.000 lượt cài đặt trên thiết bị di động, khiến đây trở thành một trong những chiến dịch đánh cắp thông tin xác thực quan trọng hơn nhắm vào hệ sinh thái công cụ dành cho nhà phát triển AI.
Câu chuyện thay đổi của tác giả
Tài khoản npm đằng sau gói thuộc về “khoai tây chiên,” được Aikido xác định là Igor Levochkin. đối đầu trên GitHubtác giả ban đầu tuyên bố đã mất quyền truy cập vào tài khoản npm, sau đó chỉnh sửa phản hồi để nói rằng họ “hiện đang điều tra nội bộ vấn đề này.”
Levochkin cho biết không có dữ liệu thông tin xác thực nào được chia sẻ với bên thứ ba, nhưng không giải thích lý do tại sao mã lọc chỉ được chèn vào bản dựng npm hoặc tại sao ngay từ đầu lại cần quyền truy cập vào mã thông báo Codex của người dùng. các Hồ sơ X được liên kết với tài khoản bao gồm tên miền Anyclaw[.]store, cùng miền mà mã thông báo bị đánh cắp đã được gửi tới.
Một mô hình đang phát triển
Cuộc tấn công xảy ra trong thời kỳ các mối đe dọa ngày càng gia tăng đối với công cụ dành cho nhà phát triển AI. Tháng trước, tiện ích mở rộng VS Code bị nhiễm độc đã xâm nhập vào kho lưu trữ nội bộ của GitHub, lấy cắp 3.800 kho lưu trữ sau khi một nhân viên cài đặt gói độc hại. Cuộc tấn công đó, được cho là do nhóm TeamPCP thực hiện, đã thu thập thông tin xác thực từ kho lưu trữ 1Password, cấu hình Claude Code và AWS.
Bài học từ cả hai sự việc đều giống nhau. Khi các công cụ mã hóa AI trở thành cơ sở hạ tầng thiết yếu, các mã thông báo xác thực mà chúng tạo ra và thường lưu trữ dưới dạng văn bản gốc đang trở thành mục tiêu có giá trị cao. Của riêng OpenAI tài liệu cảnh báo các nhà phát triển coi ~/.codex/auth.json như một mật khẩu. Chiến dịch codexui-android là minh chứng cho điều gì sẽ xảy ra khi lời khuyên đó không được chú ý và khi các công cụ mà nhà phát triển tin cậy được thiết kế để khai thác niềm tin đó.
Aikido cũng đã báo cáo riêng rằng các khóa Google API đã xóa vẫn tồn tại tối đa 23 phút sau khi thu hồi, kẻ tấn công cửa sổ có thể khai thác để truy cập dữ liệu người dùng và các cuộc trò chuyện của Gemini. Google đã phân loại vấn đề này là lỗi P0. Phát hiện này nhấn mạnh một vấn đề rộng lớn hơn: việc thu hồi thông tin xác thực trong môi trường đám mây hiếm khi diễn ra ngay lập tức như những người bảo vệ giả định.
Nguồn The Next Web