codexui-android라는 npm 악성 패키지가 OpenAI Codex의 인증 토큰을 탈취했습니다. 이 인공지능을 프로젝트에 통합하는 개발자들은 자신의 키가 허가 없이 사용될 위험에 노출됩니다. 사용자에게 이는 Codex 기반 서비스의 보안 위험을 의미합니다. 지금이 접근 권한을 검토하고 비밀번호를 업데이트할 때입니다.
악성 코드가 개발자 자격 증명을 어떻게 악용하는가 🔐
codexui-android 패키지는 합법적인 Android 라이브러리로 위장하지만, 설치 시 개발자 환경에 저장된 인증 토큰을 추출하는 스크립트를 실행합니다. 이 토큰을 사용하면 Codex API에 제한 없이 액세스할 수 있어 승인되지 않은 쿼리나 데이터 유출의 문이 열립니다. npm 커뮤니티는 이미 패키지를 제거했지만, 다운로드한 사용자는 즉시 키를 교체하고 이상한 액세스가 있는지 프로젝트를 감사해야 합니다.
Android가 되고 싶었지만 토큰 도둑이었던 패키지 🦹
누군가 Android와는 전혀 상관없고 사기에 가까운 패키지에 codexui-android라는 이름을 붙이는 것이 좋은 생각이라고 생각했습니다. 피자를 주문했는데 전기 요금 청구서가 배달되는 것과 같습니다. 이 패키지를 설치한 개발자들은 이제 자신의 토큰을 낯선 사람에게 선물한 모호한 영광을 누리게 되었습니다. 비밀번호를 바꾸는 것이 무료라는 것이 다행입니다. 교훈은 시간과 존엄성 측면에서 큰 대가를 치렀기 때문입니다.