Вредоносный пакет в npm под названием codexui-android скомпрометировал токены аутентификации OpenAI Codex. Разработчики, интегрирующие этот искусственный интеллект в свои проекты, рискуют тем, что их ключи будут использованы без разрешения. Для пользователей это представляет угрозу безопасности сервисов, основанных на Codex. Настало время проверить доступы и обновить пароли.
Как вредоносный код эксплуатирует учетные данные разработчиков 🔐
Пакет codexui-android маскируется под легитимную библиотеку для Android, но при установке запускает скрипт, который извлекает токены аутентификации, хранящиеся в среде разработчика. Эти токены позволяют получать неограниченный доступ к API Codex, открывая путь к несанкционированным запросам или утечкам данных. Сообщество npm уже удалило пакет, но те, кто его скачал, должны немедленно сменить свои ключи и проверить свои проекты на наличие подозрительных доступов.
Пакет, который хотел быть Android, но оказался вором токенов 🦹
Кто-то подумал, что назвать пакет codexui-android, не имеющий ничего общего с Android, но имеющий много общего с мошенничеством, — отличная идея. Это как заказать пиццу, а получить счет за электричество. Разработчики, установившие его, теперь имеют сомнительную честь подарить свои токены незнакомцу. Хорошо, что смена паролей бесплатна, ведь урок обошелся дорого во времени и достоинстве.