每周下载量超2.7万次的Codex UI工具暗中窃取OpenAI刷新令牌

2026年5月27日Aikido Security向Hackread.com披露了关于恶意npm包codexui-android的研究。这款广受移动开发者欢迎的软件工具被证实会窃取身份验证令牌。该工具是OpenAI Codex一个能编写代码的人工智能模型的远程网页用户界面每周下载量高达约2.7万次。Aikido Security研究员Charlie Eriksen发现该软件包上月实施了供应链攻击以窃取用户数据。隐匿于正常功能之中值得注意的是攻击者并未使用域名仿冒或账户劫持等常见手段而是开发了一个真正实用的工具。此举很可能是为了在武器化工具前建立真实用户群。更隐蔽的是恶意代码并未出现在公开的GitHub仓库中仅存在于发布的npm包内这意味着常规的源代码审计必然会遗漏该威胁。攻击在模块加载时立即触发。dist-cli/index.js文件的首行会导入名为chunk-PUR7OUAG.js的隐藏脚本该脚本会快速检测本地凭证。若发现凭证便会启动数据外泄程序从auth.json文件中窃取access_token、id_token、账户ID及refresh_token。尤为严重的是refresh_token不会过期攻击者可借此永久冒充受害者身份。为隐藏网络流量代码将窃取的数据发送至名为sentry.anyclawstore的服务端节点此举旨在伪装成正常的Sentry错误报告遥测数据。在隐藏的源码映射中作者甚至留下了明确注释始终将令牌发送至我们的startlog端点。针对移动设备的定向攻击研究团队在博客中指出该威胁行为者还将Android移动设备列为攻击目标。攻击者以BrutalStrike开发者身份在Google Play商店发布应用该账号名下还拥有一款下载量超500万的合法手机游戏。两款特定应用——付费效率工具codex.app和OpenClaw Codex Claude AI Agent——均包含相同的恶意基础设施。图片来源Aikido Security这些Android应用能轻易通过Google发布前的安全扫描因为初始26MB的APK文件看起来完全无害。安装后应用会将基于Termux的Linux用户空间解压至私有存储并通过PRoot启动Node.js随后执行命令安装最新版npm包pnpm add codexui-androidlatest。自codexui-android0.1.82版本起数据外泄行为便已存在。当Eriksen联系开发者对质时对方短暂发布声明称其失去了npm账户访问权限随后迅速删除该声明转而发布公司声明否认存在凭证窃取行为。截至发稿该恶意软件包及相关应用仍在线上运行。研究人员总结道AI开发工具正成为高价值目标正因为这些令牌权限高且有效期长...威胁行为者投入真实精力构建可信、有用的项目作为掩护。这种合法性本身正是攻击载体。随着AI工具激增和开发者追求效率捷径此类事件将愈发频繁。