Un paquete malicioso en npm llamado codexui-android ha comprometido los tokens de autenticación de OpenAI Codex. Los desarrolladores que integran esta inteligencia artificial en sus proyectos se exponen a que sus claves sean utilizadas sin permiso. Para los usuarios, esto supone un riesgo en la seguridad de servicios basados en Codex. Es momento de revisar accesos y actualizar contraseñas.
Cómo el código malicioso explota las credenciales de desarrolladores 🔐
El paquete codexui-android se disfraza de una librería legítima para Android, pero al instalarlo ejecuta un script que extrae tokens de autenticación almacenados en el entorno del desarrollador. Estos tokens permiten acceder a las APIs de Codex sin restricción, abriendo la puerta a consultas no autorizadas o filtraciones de datos. La comunidad de npm ya ha eliminado el paquete, pero quienes lo descargaron deben rotar sus claves inmediatamente y auditar sus proyectos en busca de accesos extraños.
El paquete que quería ser Android pero era un ladrón de tokens 🦹
Alguien pensó que sería buena idea llamar codexui-android a un paquete que no tiene nada de Android y mucho de estafa. Es como pedir una pizza y que te traigan una factura de la luz. Los desarrolladores que lo instalaron ahora tienen el dudoso honor de haberle regalado sus tokens a un desconocido. Menos mal que cambiar contraseñas es gratis, porque la lección ha salido cara en tiempo y dignidad.