一个模仿OpenAI Codex界面的工具,每周下载量高达2.9万次,在npm上潜伏一个月后才亮出真面目。开发者们下载它,是因为它在GitHub上的开源代码一直“干净”,功能也如宣传所说,可以远程操控Codex平台。但大约一个月后的那次npm更新,往这个叫“codexui-android”的包里注入了窃密代码。

Aikido Security的研究员Charlie Eriksen发现了这次攻击。他描述,一旦开发者运行该工具,它就会搜寻本机上的Codex认证令牌,并将它们发送到攻击者控制的服务器。被盗走的凭证里包含一个刷新令牌,不会在短期内过期,意味着攻击者可以在不知道密码的情况下长时间访问受害者的OpenAI账户。

打开网易新闻 查看精彩图片

这种窃密行为的后果不止是偷看Codex会话。攻击者可以利用偷来的令牌消耗受害者账户里的API额度,窥探通过Codex进行中的项目或代码,甚至在和OpenAI服务交互时冒充受害者。Eriksen指出,那个刷新令牌本应提供便利,却成了这次攻击中最危险的缺口。

同一时间,Aikido Security还发现了两款针对Codex用户的恶意安卓应用。这起供应链攻击的范围不只是代码,而是有意铺向使用Codex的软件开发者。常规的静态代码审查在GitHub上根本看不出问题,因为恶意代码只藏在了npm发布的实际包里。