codexui-androidというnpmの悪意あるパッケージが、OpenAI Codexの認証トークンを侵害しました。この人工知能をプロジェクトに統合する開発者は、自分のキーが無断で使用される危険にさらされています。ユーザーにとっては、Codexベースのサービスのセキュリティにリスクが生じます。アクセス権限を見直し、パスワードを更新する時です。
悪意のあるコードが開発者の認証情報をどのように悪用するか 🔐
codexui-androidパッケージは、Android向けの正規のライブラリを装っていますが、インストール時に開発者の環境に保存されている認証トークンを抽出するスクリプトを実行します。これらのトークンにより、制限なくCodexのAPIにアクセスでき、不正なクエリやデータ漏洩への扉が開かれます。npmコミュニティはすでにこのパッケージを削除しましたが、ダウンロードした人は直ちにキーをローテーションし、不審なアクセスがないかプロジェクトを監査する必要があります。
Androidになりすましたかったが、トークン泥棒だったパッケージ 🦹
誰かが、Androidとは何の関係もなく、詐欺要素満載のパッケージにcodexui-androidと名付けるのは良いアイデアだと考えました。ピザを注文したら電気代の請求書が届くようなものです。これをインストールした開発者は、自分のトークンを見知らぬ人にプレゼントしてしまったという怪しい名誉を得ました。パスワードを変更するのが無料なのがせめてもの救いですが、この教訓は時間と尊厳において高い代償を伴いました。