حزمة خبيثة في npm تُدعى codexui-android عرّضت رموز المصادقة الخاصة بـ OpenAI Codex للخطر. المطورون الذين يدمجون هذا الذكاء الاصطناعي في مشاريعهم معرضون لخطر استخدام مفاتيحهم دون إذن. بالنسبة للمستخدمين، يشكل هذا خطرًا على أمان الخدمات القائمة على Codex. حان الوقت لمراجعة صلاحيات الوصول وتحديث كلمات المرور.
كيف يستغل الكود الخبيث بيانات اعتماد المطورين 🔐
تتنكر حزمة codexui-android في هيئة مكتبة شرعية لنظام Android، ولكن عند تثبيتها، تقوم بتنفيذ سكريت يستخرج رموز المصادقة المخزنة في بيئة المطور. تسمح هذه الرموز بالوصول إلى واجهات برمجة تطبيقات Codex دون قيود، مما يفتح الباب أمام استعلامات غير مصرح بها أو تسريبات للبيانات. قام مجتمع npm بالفعل بإزالة الحزمة، لكن أولئك الذين قاموا بتنزيلها يجب عليهم تدوير مفاتيحهم فورًا ومراجعة مشاريعهم بحثًا عن أي وصول غير معتاد.
الحزمة التي أرادت أن تكون Android لكنها كانت لصة رموز 🦹
اعتقد شخص ما أنها فكرة جيدة أن يُطلق على حزمة لا علاقة لها بنظام Android اسم codexui-android، وهي مليئة بالاحتيال. الأمر أشبه بأن تطلب بيتزا ويأتيك فاتورة كهرباء. المطورون الذين قاموا بتثبيتها لديهم الآن شرف مشكوك فيه وهو أنهم أهدوا رموزهم لشخص غريب. لحسن الحظ أن تغيير كلمات المرور مجاني، لأن الدرس كان باهظ الثمن من حيث الوقت والكرامة.