Um pacote malicioso no npm chamado codexui-android comprometeu os tokens de autenticação do OpenAI Codex. Desenvolvedores que integram essa inteligência artificial em seus projetos correm o risco de ter suas chaves usadas sem permissão. Para os usuários, isso representa um risco na segurança de serviços baseados no Codex. É hora de revisar acessos e atualizar senhas.
Como o código malicioso explora as credenciais dos desenvolvedores 🔐
O pacote codexui-android se disfarça de uma biblioteca legítima para Android, mas ao ser instalado executa um script que extrai tokens de autenticação armazenados no ambiente do desenvolvedor. Esses tokens permitem acessar as APIs do Codex sem restrição, abrindo a porta para consultas não autorizadas ou vazamentos de dados. A comunidade do npm já removeu o pacote, mas quem o baixou deve rotacionar suas chaves imediatamente e auditar seus projetos em busca de acessos estranhos.
O pacote que queria ser Android, mas era um ladrão de tokens 🦹
Alguém pensou que seria uma boa ideia chamar codexui-android a um pacote que não tem nada de Android e muito de golpe. É como pedir uma pizza e receber uma conta de luz. Os desenvolvedores que o instalaram agora têm a duvidosa honra de ter dado seus tokens a um desconhecido. Ainda bem que trocar senhas é grátis, porque a lição saiu cara em tempo e dignidade.