研究人员披露了一项新的恶意供应链活动,目标是通过名为 codexui-android 的看似合法的远程 Web UI 工具使用 OpenAI Codex 的开发人员。该软件包在 GitHub 和 npm 上发布,每周下载量超过 29,000 次,并且仍然可供公开下载。
该活动值得注意,因为它将恶意代码嵌入到一个已积极开发的功能齐全的 npm 包中,而相关的 GitHub 存储库看起来很干净。 Aikido Security 研究员 Charlie Eriksen 表示:“在过去的一个月里,每次调用都会悄悄地将您的 Codex 身份验证令牌泄露到攻击者控制的服务器上。”
该恶意代码似乎是在该软件包最初发布大约一个月后引入的,可能是为了建立用户信任并扩大其影响范围。与该包关联的 npm 帐户是“friuns”,它与 Igor Levochkin 关联。
嵌入代码从 Codex 中提取“~/.codex/auth.json”文件,将其发送到伪装成“sentry.anyclaw[.]store”处的 Sentry 的远程服务器。捕获的数据包括访问令牌、刷新令牌、id 令牌和帐户 ID。埃里克森指出,“refresh_token 不会过期”,这表明未经授权的访问能力仍在持续。 “持有它的攻击者可以无限期地无声地冒充你。”
OpenAI 警告用户将 auth.json 文件视为密码。登录详细信息以纯文本形式或通过操作系统特定的凭据存储在本地缓存,这引发了进一步的安全问题。
除了 npm 包之外,Aikido 研究人员还发现了一个名为 OpenClaw Codex Claude AI Agent 的 Android 应用程序,该应用程序利用恶意 npm 包来窃取凭据。 OpenClaw 应用程序的 APK 大小为 26 MB,在发布前扫描中显得干净,并在 PRoot 沙箱中运行 npm 包。
该渗透链自 [email protected] 版本以来一直活跃,它会自动从 npm 提取更新。 “该版本未固定,因此该设备会提取当前在 npm 上发布的所有内容,”Eriksen 解释道。在与开发商 BrutalStrike 相关的另一款 Android 应用程序中也观察到了相同的渗透方法,该应用程序名为 Codex,下载量超过 10,000 次。开发人员的其余三个应用程序不包含此恶意功能。
Aikido 联系了 GitHub 上 npm 包的作者。最初,他们声称无法访问其 npm 帐户,但后来表示他们正在调查该问题并已开始删除受影响的功能。他们声称没有与第三方共享任何凭证数据,但没有解释为什么包含恶意代码或 Codex 令牌的必要性。
对域名注册的调查显示,与作者相关的“anyclaw[.]store”是在 npm 软件包的第一个版本上传后不久(特别是在 2026 年 4 月 12 日)注册的。这一事态发展凸显了对手利用人工智能开发工具窃取凭证并渗透软件供应链的更广泛趋势。
此外,比利时安全研究人员发现,已删除的 Google API 密钥可以保持活动状态长达 23 分钟,存在安全漏洞。谷歌最初将该问题视为非安全问题,但后来将其列为严重问题。 AWS 访问密钥也出现了类似的凭证撤销延迟,这凸显了云环境中可利用的漏洞。
<小时/>
