Un pacchetto dannoso su npm chiamato codexui-android ha compromesso i token di autenticazione di OpenAI Codex. Gli sviluppatori che integrano questa intelligenza artificiale nei loro progetti rischiano che le loro chiavi vengano utilizzate senza autorizzazione. Per gli utenti, ciò comporta un rischio per la sicurezza dei servizi basati su Codex. È il momento di rivedere gli accessi e aggiornare le password.
Come il codice dannoso sfrutta le credenziali degli sviluppatori 🔐
Il pacchetto codexui-android si maschera da libreria legittima per Android, ma una volta installato esegue uno script che estrae i token di autenticazione memorizzati nell'ambiente dello sviluppatore. Questi token consentono di accedere alle API di Codex senza restrizioni, aprendo la porta a query non autorizzate o fughe di dati. La community di npm ha già rimosso il pacchetto, ma chi lo ha scaricato deve ruotare immediatamente le proprie chiavi e controllare i propri progetti per eventuali accessi sospetti.
Il pacchetto che voleva essere Android ma era un ladro di token 🦹
Qualcuno ha pensato che fosse una buona idea chiamare codexui-android un pacchetto che non ha nulla di Android e molto di truffa. È come ordinare una pizza e ricevere una bolletta della luce. Gli sviluppatori che lo hanno installato ora hanno il dubbio onore di aver regalato i loro token a uno sconosciuto. Meno male che cambiare password è gratis, perché la lezione è costata cara in tempo e dignità.