Un paquet malveillant dans npm nommé codexui-android a compromis les jetons d'authentification d'OpenAI Codex. Les développeurs qui intègrent cette intelligence artificielle dans leurs projets s'exposent à ce que leurs clés soient utilisées sans autorisation. Pour les utilisateurs, cela représente un risque pour la sécurité des services basés sur Codex. Il est temps de vérifier les accès et de mettre à jour les mots de passe.
Comment le code malveillant exploite les identifiants des développeurs 🔐
Le paquet codexui-android se fait passer pour une bibliothèque légitime pour Android, mais lors de son installation, il exécute un script qui extrait les jetons d'authentification stockés dans l'environnement du développeur. Ces jetons permettent d'accéder aux API de Codex sans restriction, ouvrant la porte à des requêtes non autorisées ou à des fuites de données. La communauté npm a déjà supprimé le paquet, mais ceux qui l'ont téléchargé doivent immédiatement renouveler leurs clés et auditer leurs projets pour détecter des accès suspects.
Le paquet qui voulait être Android mais qui était un voleur de jetons 🦹
Quelqu'un a pensé que ce serait une bonne idée d'appeler codexui-android un paquet qui n'a rien d'Android et beaucoup d'arnaque. C'est comme commander une pizza et recevoir une facture d'électricité. Les développeurs qui l'ont installé ont maintenant le douteux honneur d'avoir offert leurs jetons à un inconnu. Heureusement que changer de mot de passe est gratuit, car la leçon a coûté cher en temps et en dignité.