Wie hieß das bösartige npm-Paket, das OpenAI-Token gestohlen hat?

Das bösartige Paket hieß „codexui-android“.

Wie viele wöchentliche Downloads hatte codexui-android?

Es hatte rund 27.000 wöchentliche Downloads, was auf eine weite Verbreitung hindeutet.

Welche Art von Tokens hat das Paket heimlich gestohlen?

Es hat OpenAI-Refresh-Token entwendet, langlebige Anmeldeinformationen, die es ermöglichen, neue Zugriffstoken ohne erneute Authentifizierung zu generieren.

Wie versteckte das Paket sein bösartiges Verhalten?

Es tarnte sich als funktionale Benutzeroberfläche für OpenAIs Codex-Modell, sodass Entwickler es installierten und nutzten, ohne verdächtige Hintergrundnetzwerkaktivitäten zu vermuten.

Was konnten Angreifer mit gestohlenen OpenAI-Refresh-Tokens anfangen?

Sie konnten dauerhaft auf kompromittierte OpenAI-Konten zugreifen, kostenpflichtige API-Guthaben missbrauchen, gespeicherte Prompts oder Feinabstimmungsmodelldaten abrufen und möglicherweise seitlich auf Teamressourcen zugreifen.

27.000-Download npm-Paket stahl heimlich OpenAI-Tokens

Ein bösartiges npm-Paket namens codexui-android verbrachte einen unbekannten Zeitraum damit, stillschweigend OpenAI-Authentifizierungstoken von den Entwicklern zu stehlen, die es installierten. Mit rund 27.000 wöchentlichen Downloads präsentierte sich das Paket als legitime Benutzeroberfläche für OpenAIs Codex-Modell. Unter dieser vertrauten Fassade führte es eine verdeckte Aktion zum Sammeln von Anmeldedaten durch, die Sicherheitsforscher nun als Lehrbuchbeispiel für einen npm-Lieferkettenangriff einstufen, der in großem Umfang auf OpenAI-Tokens abzielte.

Die Entdeckung ist eine weitere deutliche Erinnerung daran, dass Paketregister nicht von Natur aus sicher sind und dass Popularität allein kein Indikator für Vertrauenswürdigkeit ist.

Wie codexui-android den Token-Diebstahl in einem legitim aussehenden Paket verbarg

Der Angriff beruhte auf einer einfachen, aber effektiven Täuschung: Baue etwas, das Entwickler tatsächlich nutzen wollen, und füge dann bösartige Logik hinzu, die still im Hintergrund läuft. Das Paket codexui-android bot eine funktionale Schnittstelle für OpenAIs Codex, was bedeutete, dass Entwickler es installierten, testeten und in ihren Projekten behielten, oft ohne jemals zu hinterfragen, was das Paket auf der Netzwerkebene tat.

Dieser Ansatz wird als trojanisiertes Paket-Angriff bezeichnet. Der bösartige Code war in ein scheinbar nützliches Werkzeug eingebettet und umging so die natürliche Skepsis, die ein offensichtlich nicht funktionales oder schlecht gebautes Paket hervorrufen würde. Das Paket leitete OpenAI-Refresh-Token weiter, die langlebigen Anmeldeinformationen, die es Anwendungen ermöglichen, neue Zugriffstoken anzufordern, ohne dass sich der Benutzer erneut anmelden muss.

Der Name codexui-android folgte auch einer Namenskonvention, die Legitimität suggerierte. Er entlehnte Markenwert von OpenAIs Codex-Produkt und fügte einen plattformspezifischen Zusatz an, der es wie ein zweckgebundenes, mobil-nahes Werkzeug erscheinen ließ. Entwickler, die auf npm nach Codex-bezogenen Werkzeugen suchten, hatten keinen offensichtlichen Grund, ihm zu misstrauen.

Was gestohlene OpenAI-Refresh-Token Angreifern tatsächlich ermöglichen

Refresh-Token sind nicht nur Passwörter. In vielen Authentifizierungssystemen sind sie im Wesentlichen Hauptschlüssel. Wenn ein Angreifer ein gültiges Refresh-Token erlangt, kann er wiederholt neue Zugriffstoken generieren und so dauerhaften Zugang zu einem Konto aufrechterhalten, selbst nachdem die ursprüngliche Sitzung beendet oder ein Passwort geändert wurde.

Für OpenAI-Konten könnte dieser Zugang die unbefugte Nutzung kostenpflichtiger API-Guthaben, den Zugriff auf gespeicherte Prompts oder Feinabstimmungsmodelldaten, die mögliche Offenlegung von proprietärem Code, der über die API übermittelt wurde, und in organisatorischen Kontexten den seitlichen Zugriff auf Teamressourcen, die mit demselben Konto verknüpft sind, bedeuten.

Das Risiko wächst in Entwicklungsumgebungen schnell. Ingenieure arbeiten häufig mit API-Schlüsseln und Tokens, die erhöhte Berechtigungen tragen. Ein einziges kompromittiertes Refresh-Token in einer CI/CD-Pipeline oder einer gemeinsam genutzten Entwicklungsumgebung könnte einem Angreifer einen dauerhaften Standfuß verschaffen, der schwer zu erkennen und noch schwieriger vollständig zu beheben ist. Dieser Kaskadeneffekt ähnelt dem, was bei dem Dropbox Sign-Datenpanne geschah, wo gestohlene Anmeldedaten Wege in miteinander verbundene Systeme weit über den ursprünglichen Kompromittierungspunkt hinaus eröffneten.

Warum das npm-Ökosystem Lieferkettenangriffe leicht skalierbar macht

Das npm-Register beherbergt über zwei Millionen Pakete. Das Veröffentlichen eines neuen Pakets erfordert nur minimale Identitätsprüfung, und die offene Natur des Registers macht es gerade für die weltweite Entwicklergemeinschaft so nützlich. Es ist auch der Grund, warum es wiederholt zum Ziel für Lieferkettenangreifer wird.

Der Fall codexui-android zeigt, wie Angreifer das Vertrauensmodell ausnutzen, das die Open-Source-Entwicklung untermauert. Entwickler gehen im Allgemeinen davon aus, dass ein Paket mit einer beträchtlichen Anzahl von Downloads eine gewisse gemeinschaftliche Prüfung überstanden hat. Diese Annahme wird zunehmend gefährlich. Download-Zahlen können künstlich aufgebläht werden, und reale Nutzung ist nicht gleichbedeutend mit einer Sicherheitsüberprüfung.

Das breitere Problem der npm-Lieferkettenangriffe ist nicht neu, aber das Targeting von KI-Werkzeugen stellt eine Weiterentwicklung dar. Da Entwickler APIs großer Sprachmodelle in Produktionssysteme integrieren, werden die Tokens, die diese Integrationen authentifizieren, zu hochwertigen Zielen. Angreifer sind sich dieser Verschiebung offensichtlich bewusst. Pakete, die KI-Entwicklerwerkzeuge imitieren, sind eine aufkommende Bedrohungskategorie, der die Sicherheitsgemeinschaft noch in großem Maßstab entgegenzuwirken versucht.

Defense-in-Depth für Entwickler: Anmeldedatenisolierung, Netzwerksegmentierung und mehr

Der Vorfall codexui-android weist auf mehrere konkrete Praktiken hin, die die Anfälligkeit für diese Angriffsklasse verringern können.

Anmeldedatenisolierung ist die unmittelbarste Abhilfe. API-Tokens und Refresh-Tokens sollten so eng wie möglich eingeschränkt, in Secrets-Managern statt in Umgebungsvariablen oder Konfigurationsdateien gespeichert und regelmäßig rotiert werden. Wenn ein Token gestohlen wird, bedeutet ein eingeschränkter Umfang auch einen begrenzten Schaden.

Abhängigkeitsprüfung sollte ein Standardbestandteil jedes Entwicklungsablaufs sein. Werkzeuge wie npm audit und Plattformen zur Analyse der Software-Zusammensetzung von Drittanbietern können Pakete mit ungewöhnlichem Verhalten oder bekannten Schwachstellen kennzeichnen. Das Sperren von Abhängigkeitsversionen in package-lock-Dateien und das Überprüfen von Änderungen vor der Übernahme von Updates verringert ebenfalls die Gefahr, auf bösartige Versionsaktualisierungen hereinzufallen.

Netzwerk-Egress-Überwachung kann Exfiltrationsversuche aufdecken, die Prüfwerkzeuge übersehen. Wenn eine Entwicklungsumgebung oder CI/CD-Pipeline so konfiguriert ist, dass sie bei unerwarteten ausgehenden Verbindungen alarmiert, wird ein Paket, das versucht, mit gestohlenen Tokens nach Hause zu telefonieren, erkennbar.

Prinzip der geringsten Berechtigung gilt auf jeder Ebene. Entwicklungsrechner sollten nicht mit Anmeldeinformationen ausgeführt werden, die Zugriff auf Produktionsebene gewähren. CI/CD-Pipelines sollten kurzlebige Tokens verwenden, die zur Laufzeit generiert werden, anstatt langfristig gespeicherte Geheimnisse.

Schließlich ist die Überprüfung der eigenen installierten Pakete auf alles, was Authentifizierungsabläufe berührt, jetzt eine lohnende Übung. Der codexui-android-Vorfall ist wahrscheinlich kein Einzelfall. Prüfen Sie, was sich in Ihrem node_modules befindet, überprüfen Sie, welche Berechtigungen Ihre API-Tokens haben, und behandeln Sie jedes Paket, das mit der Speicherung von Anmeldedaten in Berührung kommt, mit erhöhter Sorgfalt.

Lieferkettenangriffe sind erfolgreich, weil sie Vertrauen in großem Maßstab ausnutzen. Diese Sicherheitslage Abhängigkeit für Abhängigkeit wiederherzustellen, beginnend mit den sensibelsten Anmeldedaten in Ihrem Stack, ist die praktischste Antwort, die einzelnen Entwicklern heute zur Verfügung steht.