Ein bösartiges Paket in npm namens codexui-android hat die Authentifizierungstoken von OpenAI Codex kompromittiert. Entwickler, die diese künstliche Intelligenz in ihre Projekte integrieren, setzen sich der Gefahr aus, dass ihre Schlüssel unbefugt genutzt werden. Für die Benutzer bedeutet dies ein Sicherheitsrisiko für Dienste, die auf Codex basieren. Es ist an der Zeit, Zugriffe zu überprüfen und Passwörter zu aktualisieren.
Wie der bösartige Code die Anmeldeinformationen von Entwicklern ausnutzt 🔐
Das Paket codexui-android tarnt sich als legitime Bibliothek für Android, führt aber bei der Installation ein Skript aus, das im Entwicklerumfeld gespeicherte Authentifizierungstoken extrahiert. Diese Token ermöglichen uneingeschränkten Zugriff auf die Codex-APIs und öffnen die Tür für unbefugte Abfragen oder Datenlecks. Die npm-Community hat das Paket bereits entfernt, aber diejenigen, die es heruntergeladen haben, müssen ihre Schlüssel sofort rotieren und ihre Projekte auf verdächtige Zugriffe überprüfen.
Das Paket, das Android sein wollte, aber ein Token-Dieb war 🦹
Jemand dachte, es wäre eine gute Idee, ein Paket, das nichts mit Android zu tun hat und viel mit Betrug, codexui-android zu nennen. Es ist, als würde man eine Pizza bestellen und eine Stromrechnung geliefert bekommen. Die Entwickler, die es installiert haben, haben jetzt die zweifelhafte Ehre, ihre Token einem Fremden geschenkt zu haben. Gut, dass Passwörter ändern kostenlos ist, denn die Lektion war teuer an Zeit und Würde.