I ricercatori hanno rivelato una nuova campagna dannosa sulla catena di fornitura rivolta agli sviluppatori che utilizzano OpenAI Codex attraverso uno strumento di interfaccia utente Web remota dall’aspetto legittimo noto come codexui-android. Il pacchetto, pubblicizzato su GitHub e npm, ha raccolto oltre 29.000 download settimanali e rimane pubblicamente disponibile per il download.
Questa campagna è degna di nota in quanto incorpora codice dannoso all’interno di un pacchetto npm completamente funzionale che è stato sviluppato attivamente, con il repository GitHub associato che appare pulito. “Nell’ultimo mese, ogni singola invocazione ha esfiltrato silenziosamente i token di autenticazione del Codex su un server controllato da un utente malintenzionato”, ha affermato Charlie Eriksen, ricercatore di Aikido Security.
Sembra che il codice dannoso sia stato introdotto circa un mese dopo la pubblicazione iniziale del pacchetto, probabilmente per rafforzare la fiducia degli utenti e ampliarne la portata. L’account NPM collegato al pacchetto è “friuns”, che è collegato a Igor Levochkin.
Il codice incorporato estrae il file “~/.codex/auth.json” da Codex, inviandolo a un server remoto mascherato da Sentry su “sentry.anyclaw[.]store”. I dati acquisiti includono token di accesso, token di aggiornamento, token ID e ID account. “Il refresh_token non scade”, ha osservato Eriksen, indicando le continue capacità di accesso non autorizzato. “Un aggressore che lo tiene può impersonificarti silenziosamente per un tempo indefinito.”
OpenAI avvisa gli utenti di trattare il file auth.json come una password. I dettagli di accesso vengono memorizzati nella cache locale in testo normale o tramite un archivio di credenziali specifiche del sistema operativo, sollevando ulteriori problemi di sicurezza.
Oltre al pacchetto npm, i ricercatori di Aikido hanno identificato anche un’applicazione Android denominata OpenClaw Codex Claude AI Agent che utilizza il pacchetto dannoso npm per esfiltrare le credenziali. L’app OpenClaw, con una dimensione APK ridotta di 26 MB, appare pulita nelle scansioni pre-pubblicazione ed esegue il pacchetto npm in una sandbox PRoot.
La catena di esfiltrazione è attiva dalla versione [email protected], che estrae automaticamente gli aggiornamenti da npm. “La versione non è bloccata, quindi il dispositivo estrae tutto ciò che è attualmente pubblicato su npm”, ha spiegato Eriksen. Lo stesso metodo di esfiltrazione è stato osservato anche in un’altra app Android legata allo sviluppatore BrutalStrike, denominata Codex, che conta oltre 10.000 download. Le restanti tre app dello sviluppatore non contengono questa funzionalità dannosa.
Aikido ha contattato l’autore del pacchetto npm su GitHub. Inizialmente, hanno affermato di aver perso l’accesso al proprio account npm, ma in seguito hanno dichiarato che stavano indagando sul problema e avevano iniziato a rimuovere la funzionalità interessata. Hanno affermato che nessun dato sulle credenziali è stato condiviso con terze parti, ma non ha spiegato il motivo per cui è stato incluso il codice dannoso o la necessità dei token Codex.
Le indagini sulle registrazioni dei domini hanno rivelato che “anyclaw[.]store”, collegato all’autore, è stato registrato poco dopo il caricamento della prima versione del pacchetto npm, precisamente il 12 aprile 2026. Questo sviluppo evidenzia una tendenza più ampia di avversari che sfruttano gli strumenti di sviluppo dell’intelligenza artificiale per rubare credenziali e infiltrarsi nella catena di fornitura del software.
Inoltre, i ricercatori belgi sulla sicurezza hanno scoperto che le chiavi API di Google cancellate possono rimanere attive fino a 23 minuti, presentando una vulnerabilità di sicurezza. Google inizialmente ha liquidato il problema come un problema non legato alla sicurezza, ma in seguito lo ha classificato come critico. Ritardi simili nella revoca delle credenziali sono stati notati con le chiavi di accesso AWS, sottolineando le vulnerabilità sfruttabili all’interno degli ambienti cloud.
