npm-пакет codexui-android воровал токены пользователей OpenAI Codex

Aikido Security обнаружила вредоносный код в npm-пакете codexui-android, который выдавал себя за удаленный веб-интерфейс для OpenAI Codex. Код был в опубликованном npm-артефакте, но отсутствовал в публичном репозитории GitHub, что подчеркивает риск проверки только исходников, а не реально устанавливаемых пакетов.

Исследователь Aikido Security Чарли Эриксен сообщил о вредоносном npm-пакете codexui-android, предназначенном для пользователей OpenAI Codex. Пакет выглядел как рабочий удаленный веб-интерфейс для Codex, имел публичный репозиторий на GitHub и, по данным Aikido, набирал около 27 тыс. загрузок в неделю.

Главная особенность атаки в том, что вредоносный код находился не в исходном коде на GitHub, а в опубликованной в npm сборке. При запуске пакет читал файл ~/.codex/auth.json или $CODEX_HOME/auth.json и отправлял его содержимое на сервер sentry.anyclaw.store/startlog. В этом файле могли находиться access_token, refresh_token, id_token и идентификатор учетной записи.

По данным Aikido, код выполнялся сразу при загрузке модуля, до основной логики приложения. Исследователи также указали на Android-приложения того же автора, которые при запуске подтягивали codexui-android@latest из npm без фиксации версии, тем самым автоматически получая зараженную сборку.

Инцидент показывает слабое место в защите цепочки поставок: проверка репозитория проекта не гарантирует, что устанавливаемый артефакт совпадает с проверенными исходниками. Разработчикам и администраторам, которые использовали codexui-android, стоит считать учетные данные Codex скомпрометированными, отозвать или обновить токены и проверить сетевые журналы на обращения к указанному домену.