Una popular herramienta de npm para OpenAI Codex con 29,000 descargas semanales ha estado robando tokens de autenticación de desarrolladores durante un mes completo. El paquete codexui-android parecía completamente legítimo, con un repositorio activo en GitHub, historial de desarrollo constante y miles de usuarios confiando en él. Sin embargo, detrás de esta fachada profesional, cada vez que se ejecutaba la herramienta, silenciosamente leía el archivo de autenticación de Codex del usuario y enviaba los datos a un servidor controlado por atacantes.
Lo robado incluía tokens de acceso, tokens de actualización, tokens de ID y números de cuenta, todo lo necesario para suplantar indefinidamente la identidad del desarrollador. El aspecto más preocupante es que el token de actualización nunca expira, permitiendo a los atacantes mantener acceso permanente a las cuentas comprometidas sin que las víctimas lo sepan.
El ataque fue inusualmente sofisticado para un compromiso de cadena de suministro en npm. A diferencia de ataques típicos que dependen de errores tipográficos o paquetes desechables, codexui-android era una herramienta funcional bajo desarrollo activo. Su repositorio en GitHub permanecía limpio, mientras que el código malicioso existía únicamente en la compilación de npm. El paquete extraía el contenido del archivo ~/.codex/auth.json, una caché de credenciales en texto plano creada cuando un usuario inicia sesión, y lo enviaba a un servidor diseñado para imitar Sentry, la plataforma legítima de seguimiento de errores.
La funcionalidad maliciosa se introdujo aproximadamente un mes después de la publicación inicial del paquete, una táctica común para generar confianza antes de desplegar el ataque. Además del paquete npm, dos aplicaciones Android publicadas en Google Play por un desarrollador llamado BrutalStrike ejecutaban el mismo código malicioso, acumulando más de 60,000 descargas combinadas. Esto convierte el ataque en una de las campañas de robo de credenciales más significativas dirigidas al ecosistema de herramientas de desarrollo con inteligencia artificial.
Cuando fue confrontado en GitHub, el autor del paquete, identificado como Igor Levochkin, primero afirmó haber perdido acceso a la cuenta de npm, luego cambió su respuesta diciendo que estaba investigando el problema internamente. Este incidente subraya una lección crítica: a medida que las herramientas de codificación con IA se convierten en infraestructura esencial, los tokens de autenticación que generan se están convirtiendo en objetivos de alto valor para los atacantes.
Fuente Original: https://thenextweb.com/news/a-popular-openai-codex-tool-with-29000-weekly-downloads-has-been-quietly-stealing-developer-tokens-for-a-month
Artículos relacionados de LaRebelión:
- Nvidia Vera IA Potente con Anthropic y OpenAI
- OpenAI IA de Vanguardia para Ciberseguridad Bancaria en Japon
- OpenAI Unifica ChatGPT Codex El Futuro es Aqui
- Salesforces 300M AI Tokens Slack Coding Plans
- Anthropic Supera a OpenAI Liderazgo IA o Amenazas Pendientes
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario