npm पर एक दुर्भावनापूर्ण पैकेज जिसे codexui-android कहा जाता है, ने OpenAI Codex के प्रमाणीकरण टोकन से समझौता कर लिया है। जो डेवलपर अपने प्रोजेक्ट्स में इस कृत्रिम बुद्धिमत्ता को एकीकृत करते हैं, वे अपनी चाबियों के बिना अनुमति के उपयोग होने के जोखिम में पड़ जाते हैं। उपयोगकर्ताओं के लिए, इसका मतलब Codex-आधारित सेवाओं की सुरक्षा में जोखिम है। अब समय आ गया है कि एक्सेस की समीक्षा करें और पासवर्ड अपडेट करें।
दुर्भावनापूर्ण कोड डेवलपर क्रेडेंशियल्स का शोषण कैसे करता है 🔐
codexui-android पैकेज एंड्रॉइड के लिए एक वैध लाइब्रेरी के रूप में प्रस्तुत होता है, लेकिन इंस्टॉल होने पर यह एक स्क्रिप्ट निष्पादित करता है जो डेवलपर के वातावरण में संग्रहीत प्रमाणीकरण टोकन निकालता है। ये टोकन बिना किसी प्रतिबंध के Codex APIs तक पहुंच प्रदान करते हैं, जिससे अनधिकृत क्वेरी या डेटा लीक का रास्ता खुल जाता है। npm समुदाय ने पहले ही पैकेज को हटा दिया है, लेकिन जिन लोगों ने इसे डाउनलोड किया है, उन्हें तुरंत अपनी चाबियां बदलनी चाहिए और किसी भी अजीब एक्सेस के लिए अपने प्रोजेक्ट्स का ऑडिट करना चाहिए।
वह पैकेज जो एंड्रॉइड बनना चाहता था लेकिन टोकन चोर निकला 🦹
किसी ने सोचा कि एक पैकेज को codexui-android नाम देना एक अच्छा विचार होगा जिसमें एंड्रॉइड जैसा कुछ नहीं है और बहुत कुछ घोटाला है। यह पिज्जा ऑर्डर करने और बिजली का बिल प्राप्त करने जैसा है। जिन डेवलपर्स ने इसे इंस्टॉल किया, उनके पास अब अपने टोकन किसी अजनबी को देने का संदिग्ध सम्मान है। अच्छी बात है कि पासवर्ड बदलना मुफ्त है, क्योंकि यह सबक समय और गरिमा में महंगा पड़ा है।