¿Cuál era el nombre del paquete npm malicioso que robó tokens de OpenAI?

El paquete malicioso se llamaba “codexui-android”.

¿Cuántas descargas semanales tenía codexui-android?

Tenía aproximadamente 27.000 descargas semanales, lo que indica una amplia distribución.

¿Qué tipo de tokens robaba el paquete en secreto?

Exfiltraba tokens de actualización de OpenAI, que son credenciales de larga duración que permiten generar nuevos tokens de acceso sin volver a autenticarse.

¿Cómo ocultaba el paquete su comportamiento malicioso?

Se hacía pasar por una interfaz de usuario funcional para el modelo Codex de OpenAI, de modo que los desarrolladores lo instalaban y usaban sin sospechar de la actividad de red en segundo plano.

¿Qué podían hacer los atacantes con los tokens de actualización de OpenAI robados?

Podían acceder de forma persistente a las cuentas de OpenAI comprometidas, abusar de los créditos de API de pago, recuperar prompts almacenados o datos de modelos ajustados, y potencialmente moverse lateralmente hacia recursos del equipo.

Paquete npm con 27.000 descargas robó silenciosamente tokens de OpenAI

Un paquete npm malicioso llamado codexui-android pasó un período desconocido robando silenciosamente tokens de autenticación de OpenAI de los desarrolladores que lo instalaban. Con aproximadamente 27.000 descargas semanales, el paquete se presentaba como una interfaz de usuario legítima para el modelo Codex de OpenAI. Bajo esa apariencia familiar, ejecutaba una operación encubierta de recolección de credenciales que los investigadores de seguridad ahora clasifican como un ataque de libro de texto a la cadena de suministro de npm dirigido a tokens de OpenAI a gran escala.

El descubrimiento es otro recordatorio contundente de que los registros de paquetes no son inherentemente seguros y que la popularidad por sí sola no es un indicador de confiabilidad.

Cómo codexui-android ocultaba el robo de tokens dentro de un paquete de apariencia legítima

El ataque se basaba en un engaño simple pero efectivo: construir algo que los desarrolladores realmente quieran usar y luego añadir lógica maliciosa que se ejecuta silenciosamente en segundo plano. El paquete codexui-android ofrecía una interfaz funcional para Codex de OpenAI, lo que significaba que los desarrolladores lo instalaban, lo probaban y lo mantenían en sus proyectos, a menudo sin cuestionar qué hacía el paquete a nivel de red.

Este enfoque se conoce como ataque de paquete troyanizado. El código malicioso estaba incrustado dentro de lo que parecía una herramienta útil, esquivando el escepticismo natural que invitaría un paquete obviamente no funcional o mal construido. El paquete exfiltraba tokens de actualización de OpenAI, las credenciales de larga duración que permiten a las aplicaciones solicitar nuevos tokens de acceso sin necesidad de que el usuario vuelva a iniciar sesión.

El nombre codexui-android también seguía una convención de nomenclatura que sugería legitimidad. Tomaba prestado el valor de marca del producto Codex de OpenAI mientras añadía un sufijo específico de plataforma que lo hacía parecer una herramienta para móviles creada con un propósito concreto. Los desarrolladores que buscaban en npm herramientas relacionadas con Codex no habrían tenido ninguna razón obvia para desconfiar.

Qué permiten hacer realmente los tokens de actualización de OpenAI robados

Los tokens de actualización no son simples contraseñas. En muchos sistemas de autenticación, son efectivamente llaves maestras. Cuando un atacante obtiene un token de actualización válido, puede generar nuevos tokens de acceso repetidamente, manteniendo un acceso persistente a una cuenta incluso después de que la sesión original haya finalizado o se haya cambiado la contraseña.

Para las cuentas de OpenAI, este acceso podría traducirse en uso no autorizado de créditos de API de pago, acceso a prompts almacenados o datos de modelos ajustados, posible exposición de código propietario enviado a través de la API y, en contextos organizacionales, acceso lateral a recursos del equipo vinculados a la misma cuenta.

El riesgo se agrava rápidamente en entornos de desarrollo. Los ingenieros trabajan con frecuencia con claves de API y tokens que tienen permisos elevados. Un solo token de actualización comprometido en un pipeline de CI/CD o en un entorno de desarrollo compartido podría dar a un atacante un punto de apoyo persistente difícil de detectar y más difícil de remediar por completo. Este efecto en cascada refleja lo que ocurrió en la brecha de Dropbox Sign, donde las credenciales recolectadas abrieron caminos hacia sistemas interconectados mucho más allá del punto de compromiso inicial.

Por qué el ecosistema npm facilita escalar los ataques a la cadena de suministro

El registro npm alberga más de dos millones de paquetes. Publicar un paquete nuevo requiere una verificación de identidad mínima, y la naturaleza abierta del registro es precisamente lo que lo hace tan útil para la comunidad global de desarrollo. También es lo que lo convierte en un objetivo recurrente para los atacantes de la cadena de suministro.

El caso codexui-android demuestra cómo los atacantes explotan el modelo de confianza que sustenta el desarrollo de código abierto. Los desarrolladores generalmente asumen que un paquete con cifras de descarga sustanciales ha superado algún nivel de escrutinio por parte de la comunidad. Esa suposición es cada vez más peligrosa. Las cifras de descarga pueden inflarse artificialmente y el uso en el mundo real no equivale a una revisión de seguridad.

El problema más amplio de los ataques a la cadena de suministro de npm no es nuevo, pero el enfoque en herramientas de IA marca una evolución. A medida que los desarrolladores integran API de modelos de lenguaje extensos en sistemas de producción, los tokens que autentican esas integraciones se convierten en objetivos de alto valor. Los atacantes son claramente conscientes de este cambio. Los paquetes que imitan herramientas de desarrollo de IA son una categoría emergente de amenaza que la comunidad de seguridad aún está trabajando para contrarrestar a gran escala.

Defensa en profundidad para desarrolladores: aislamiento de credenciales, segmentación de red y más allá

El incidente codexui-android señala varias prácticas concretas que pueden reducir la exposición a este tipo de ataques.

El aislamiento de credenciales es la mitigación más inmediata. Los tokens de API y los tokens de actualización deben tener el ámbito más limitado posible, almacenarse en gestores de secretos en lugar de variables de entorno o archivos de configuración, y rotarse con regularidad. Si se roba un token, un alcance limitado significa un daño limitado.

La auditoría de dependencias debe ser una parte estándar de cualquier flujo de trabajo de desarrollo. Herramientas como npm audit, junto con plataformas de análisis de composición de software de terceros, pueden marcar paquetes con comportamientos inusuales o vulnerabilidades conocidas. Bloquear las versiones de las dependencias en archivos package-lock y revisar los cambios antes de aceptar las actualizaciones también reduce la exposición a introducciones maliciosas de versiones.

La monitorización del tráfico de red saliente puede detectar intentos de exfiltración que las herramientas de auditoría pasan por alto. Si un entorno de desarrollo o un pipeline de CI/CD está configurado para alertar sobre conexiones salientes inesperadas, un paquete que intente comunicarse con un servidor externo con tokens robados se vuelve detectable.

El principio del mínimo privilegio se aplica en todos los niveles. Las máquinas de desarrollo no deben ejecutarse con credenciales que otorguen acceso a nivel de producción. Los pipelines de CI/CD deben usar tokens de corta duración generados en tiempo de ejecución en lugar de secretos almacenados a largo plazo.

Por último, revisar los paquetes instalados propios en busca de cualquier cosa que afecte a los flujos de autenticación es un ejercicio que vale la pena hacer ahora mismo. Es poco probable que el incidente codexui-android sea aislado. Audita lo que hay en tu node_modules, comprueba qué permisos tienen tus tokens de API y trata cualquier paquete que interactúe con el almacenamiento de credenciales con un escrutinio más riguroso.

Los ataques a la cadena de suministro tienen éxito porque explotan la confianza a gran escala. Reconstruir esa postura de seguridad dependencia a dependencia, comenzando por las credenciales más sensibles de tu stack, es la respuesta más práctica disponible hoy para los desarrolladores individuales.