Pesquisadores de cibersegurança revelaram detalhes de uma nova campanha maliciosa de supply chain que está mirando desenvolvedores que usam o OpenAI Codex por meio de uma interface web remota com aparência legítima.
A ferramenta, chamada codexui-android, é divulgada no GitHub e no npm como uma interface web remota para o OpenAI Codex e já atraiu mais de 29.000 downloads semanais.
O pacote segue disponível para download no repositório.
O que torna essa atividade especialmente relevante é que não se trata de um ataque tradicional baseado em typo-squatting ou em um pacote descartável criado para enganar desenvolvedores.
Em vez disso, o código malicioso foi inserido em um pacote npm funcional, que passou por desenvolvimento ativo.
Já o repositório correspondente no GitHub permanece limpo.
Segundo Charlie Eriksen, da Aikido Security, cada execução vinha exfiltrando discretamente seus tokens de autenticação do Codex para um servidor controlado pelo atacante ao longo do último mês.
Segundo a apuração, as alterações maliciosas teriam sido introduzidas cerca de um mês depois da publicação do pacote no registro, provavelmente para construir confiança entre usuários e ampliar seu alcance.
A conta do npm associada ao pacote é “friuns”, também identificada como Igor Levochkin.
Dentro do pacote há código que extrai o conteúdo do arquivo “~/.codex/auth.json”, do Codex, e o envia para um servidor remoto, “sentry.anyclaw[.]store”, que se passa por Sentry, uma plataforma legítima de monitoramento de aplicações e rastreamento de erros.
Os dados capturados incluem access_token, refresh_token, id_token e o ID da conta.
“O refresh_token não expira”, afirmou Eriksen.
“Um atacante que o obtiver pode se passar por você silenciosamente por tempo indeterminado.
Um refresh_token do Codex roubado vai além do acesso a uma interface de chat.
Ele garante acesso persistente e silencioso a tudo o que essa conta puder fazer.”
Vale lembrar que, sempre que um usuário faz login no aplicativo do Codex, no CLI ou na extensão da IDE usando ChatGPT ou uma chave de API, os dados de autenticação ficam armazenados localmente em texto puro no arquivo ~/.codex/auth.json ou no armazenamento de credenciais específico do sistema operacional.
“Se você usa armazenamento baseado em arquivo, trate o ~/.codex/auth.json como uma senha: ele contém tokens de acesso”, alerta a documentação de suporte da OpenAI.
“Não faça commit dele, não o cole em chamados e não o compartilhe em chat.”
Curiosamente, o pacote npm está longe de ser o único vetor de entrega usado pelo threat actor para atingir desenvolvedores do Codex.
A Aikido informou ter observado um aplicativo Android chamado OpenClaw Codex Claude AI Agent, com o nome de pacote “gptos.intelligence.assistant”, que executa o pacote npm dentro do sandbox PRoot e envia as credenciais do Codex ao mesmo endpoint.
“O APK em si é pequeno, com 26 MB, e parece limpo em uma varredura de pré-publicação da Play”, explicou Eriksen.
“Na primeira execução, ele extrai um ambiente Linux derivado do Termux para o armazenamento privado do aplicativo e executa Node.js ali dentro por meio do PRoot.”
“A versão não é fixada, então o dispositivo baixa o que estiver publicado no npm naquele momento.
A exfiltração está em vigor desde [email protected].
O pacote roda dentro do sandbox PRoot do aplicativo, onde o login do Codex feito no app grava o auth.json.
Assim que o usuário faz login, o pacote lê esse arquivo fora do sandbox e envia o pacote OAuth completo para sentry.anyclaw.store/startlog.”
Lançado por uma entidade chamada “BrutalStrike”, o aplicativo Android já supera 50.000 downloads.
A mesma cadeia de exfiltração também foi identificada em um segundo aplicativo Android ligado à BrutalStrike, chamado Codex, com o nome de pacote “codex.app”, que ultrapassa 10.000 downloads.
Os outros três aplicativos oferecidos pelo desenvolvedor não contêm essa funcionalidade.
Segundo a Aikido, ao entrar em contato com o autor do pacote no GitHub, ele inicialmente publicou um comentário dizendo ter perdido acesso à sua conta no npm, mas depois editou a resposta e publicou outra versão, na qual alegou estar “investigando esse problema internamente” e ter “começado a remover a funcionalidade afetada e os dados relacionados”.
O autor também afirmou que nenhum dado de credencial foi compartilhado com terceiros, sem explicar por que esse código foi inserido apenas na versão de build do pacote npm ou por que seria necessário acesso aos tokens do Codex em primeiro lugar.
O perfil no X vinculado ao autor inclui o domínio “anyclaw[.]store”.
Registros de WHOIS indicam que o domínio foi registrado em 12 de abril de 2026, apenas dois dias depois de a primeira versão do pacote npm, a 0.1.72, ter sido enviada ao npmjs[.]com.
O caso surge em um momento em que threat actors vêm mirando cada vez mais ferramentas e fluxos reais de desenvolvimento de inteligência artificial para roubar credenciais e avançar mais fundo na supply chain de software.
No fim do mês passado, a empresa belga de segurança também identificou que uma chave de API do Google excluída pode permanecer ativa por até 23 minutos, uma janela que um atacante com acesso a uma chave vazada pode explorar para obter acesso a dados de usuários e a outras APIs, incluindo as relacionadas ao Google Gemini.
O tempo mediano para revogação é de cerca de 16 minutos.
“Um atacante que detenha sua chave excluída pode continuar enviando requisições até que uma delas chegue a um servidor que ainda não foi atualizado”, disse o pesquisador Joe Leon.
“Se o Gemini estiver ativado no projeto, ele pode extrair arquivos que você enviou e exfiltrar conversas armazenadas em cache.”
Embora o Google tenha inicialmente optado por não corrigir o problema, afirmando se tratar de uma “característica conhecida do sistema e não de um problema de segurança”, a gigante de tecnologia decidiu depois tratá-lo como um bug P0, classificando-o como um problema grave que “precisa ser resolvido imediatamente”.
As conclusões, assim como um cenário semelhante de exploração de 4 segundos observado anteriormente com chaves de acesso excluídas da Amazon Web Services (AWS), mostram como atrasos na revogação de credenciais podem ser explorados para obter acesso não autorizado a ambientes em cloud, enquanto as equipes de defesa partem do pressuposto de que as credenciais já foram revogadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...