Napadači kradu OpenAI Codex tokene preko zloupotrebljenog npm paketa
OpenAI Codex autentifikacijski tokeni krađeni preko inficiranog npm paketa sa milionima preuzimanja tokom važnog napada na dobijanje softvera.
Šta se desilo?
Istraživači sajber bezbednosti otkrili su zlonamerni napadu putem dobijanja softvera gde je popularan npm paket "codexui-android" - koji se predstavlja kao daljinski veb interfejs za OpenAI Codex - u stvari krađa autentifikacijskih tokena korisnika. Paket je ostao dostupan za preuzimanje sa oko 29.000 nedeljnih preuzimanja, a zlonamerna koda je ubačena mesec dana posle publikovanja kako bi se izgradilo poverenje korisnika.
Koga pogađa?
Pogođeni su razvojni inženjeri i AI entuzijasti koji koriste OpenAI Codex alate. Rizik se posebno povećava kod korisnika Android aplikacija vezanih za Codex - pronađene su najmanje tri aplikacije ("OpenClaw Codex Claude AI Agent" sa preko 50.000 preuzimanja i "Codex" sa preko 10.000 preuzimanja) koje šire istu zlonameru. Bilo koji programer koji je koristio inficirani paket rizikuje da mu se kredencijali trajno kompromituju.
Kako se zaštititi?
- Odmah proverite da li ste koristili "codexui-android" paket - ako jeste, smenjujete sve OpenAI Codex tokene putem zvaničnog OpenAI interfejsa
- Izbegavajte preuzimanje aplikacija od nepoznatih razvijača sa Google Play prodavnice, posebno one vezane za AI alate
- Nikada ne čuvajte autentifikacijske tokene u obicnom tekstualnom fajlu (~/.codex/auth.json) - koristite operativni sistem specifičnu bezbednu skladišnu lokaciju
- Redovno pregledam vašu istoriju aktivnosti na OpenAI nalogu i aktivirajte upozorenja za neobičnu aktivnost
- Ažurirajte sve npm pakete na najnovije verzije i pratite obavešenja o bezbednosti
Tehnički detalji
Inficirani paket "codexui-android" - verzija 0.1.82 i novije - ekstraktuje sadržaj iz ~/.codex/auth.json fajla koji sadrži access_token, refresh_token, id_token i ID naloga. Tokeni se šalju na "sentry.anyclaw[.]store" server koji se falsifikuje kao legitimna Sentry platforma za monitoring. Kritično je napomenuti da refresh_token nikada ne istice, što omogućava napađaču trajnu neprimetnu neovlašćenu pristup. Napadači su koristili i Android aplikacije koje pokreću inficirani npm paket unutar PRoot sandboksa. Domena "anyclaw[.]store" registrovana je 12. aprila 2026. godine, svega dva dana posle publikovanja prve verzije paketa.
Preporuka Sajber Radara
Ako ste koristili ovaj paket, odmah revokujte sve OpenAI kredencijale jer refresh tokeni omogućavaju trajnu neotkrivenost. Obavezno pratite zvanične OpenAI kanale i npm repository upozorenja kako biste izbegeli slične napade kroz dobijanje softvera u budućnosti.
