Фахівці Aikido Security повідомили про шкідливу кампанію, спрямовану на розробників, які працюють з OpenAI Codex. Під загрозою опинилися користувачі популярного інструмента codexui-android, який поширюється через GitHub і npm як веб-інтерфейс для віддаленої роботи з Codex.
На перший погляд проєкт виглядає цілком легітимним. Пакет активно розвивається, має відкритий репозиторій на GitHub і завантажується понад 29 тисяч разів на тиждень. Саме тому випадок привернув увагу дослідників: йдеться не про класичний typosquatting або одноразовий шкідливий пакет, а про функціональний інструмент, у який навмисно вбудували механізм викрадення даних.
За словами дослідника Aikido Security Чарлі Еріксена, протягом останнього місяця пакет непомітно відправляв токени автентифікації Codex на сервер, підконтрольний зловмисникам.
«І протягом останнього місяця кожен виклик непомітно викрадав ваші токени автентифікації Codex на сервер, контрольований зловмисником».
Дослідники вважають, що шкідливий функціонал з’явився приблизно через місяць після публікації пакета. Такий підхід дозволяє спочатку завоювати довіру користувачів, а вже потім розгорнути атаку на ширшу аудиторію. Пакет пов’язують з npm-акаунтом “friuns”, який належить Ігорю Льовочкіну.
Шкідливий код шукав файл ~/.codex/auth.json, у якому Codex зберігає локальні токени доступу. Після цього вміст файлу передавався на домен sentry.anyclaw.store, який маскувався під сервіс моніторингу Sentry. Серед викрадених даних були access token, refresh token, ID token та ідентифікатор облікового запису.
Особливе занепокоєння викликає refresh token. Як пояснюють дослідники, його термін дії фактично не обмежений.
«Термін дії refresh_token не закінчується. Зловмисник, який його зберігає, може непомітно видавати себе за вас необмежений час».
У OpenAI нагадують, що під час входу в Codex через ChatGPT, API-ключ або IDE-розширення облікові дані можуть зберігатися локально у файлі ~/.codex/auth.json або в системному сховищі облікових даних. Компанія прямо рекомендує ставитися до цього файлу як до пароля та ніколи не публікувати його у відкритому доступі.
На цьому атака не закінчується. Фахівці Aikido виявили Android-додаток OpenClaw Codex Claude AI Agent (пакет gptos.intelligence.assistant), який використовує той самий npm-пакет усередині Linux-середовища на базі Termux та PRoot. Після входу користувача до Codex додаток зчитував файл автентифікації та надсилав його на той самий сервер.
За даними дослідників, застосунок виглядав цілком безпечним під час перевірки Google Play, мав розмір лише 26 МБ і після запуску автоматично розгортав власне Linux-середовище для роботи Node.js.
Додаток був опублікований організацією BrutalStrike та встиг набрати понад 50 тисяч встановлень. Аналогічний механізм викрадення даних виявили ще в одному Android-додатку цього ж розробника під назвою Codex (codex.app), який завантажили понад 10 тисяч разів. Інші застосунки цього видавця такої функціональності не містили.
Після звернення дослідників автор пакета спочатку повідомив на GitHub про втрату доступу до свого npm-акаунта, але згодом змінив коментар. У новій заяві він повідомив, що команда проводить внутрішнє розслідування та вже почала видаляти проблемний функціонал і пов’язані дані.
Водночас автор запевнив, що викрадені облікові дані не передавалися третім сторонам. Проте він не пояснив, чому код для збору токенів був присутній лише в npm-збірці та навіщо взагалі виникла потреба отримувати доступ до токенів Codex.
Додаткові підозри викликав і той факт, що профіль автора в X містить посилання на домен anyclaw.store. Згідно з WHOIS-записами, цей домен зареєстрували 12 квітня 2026 року, лише через два дні після появи першої версії пакета в npm.
Експерти зазначають, що цей випадок демонструє нову тенденцію в атаках на ланцюги поставок програмного забезпечення. Зловмисники дедалі частіше атакують не підроблені пакети, а справжні інструменти для розробки та роботи зі штучним інтелектом, щоб отримати доступ до облікових даних і проникнути глибше в інфраструктуру компаній.
На цьому тлі дослідники також нагадали про нещодавно виявлену проблему в екосистемі Google. Фахівці встановили, що навіть після видалення API-ключа він може залишатися активним до 23 хвилин. У середньому відкликання займає близько 16 хвилин, що дає потенційним зловмисникам додатковий час для доступу до сервісів, зокрема Google Gemini.
Після початкової відмови визнавати проблему Google переглянула свою позицію та класифікувала її як помилку рівня P0, тобто критичну вразливість, яка потребує негайного виправлення.
Фахівці зазначають, що подібні затримки під час відкликання облікових даних уже раніше спостерігалися в Amazon Web Services. Такі часові вікна можуть використовуватися для несанкціонованого доступу до хмарних середовищ навіть після того, як адміністратори вважають скомпрометовані ключі вже відкликаними.
