Qual era il nome del pacchetto npm malevolo che rubava token OpenAI?

Il pacchetto malevolo si chiamava “codexui-android”.

Quanti download settimanali aveva codexui-android?

Aveva circa 27.000 download settimanali, indicando un'ampia distribuzione.

Che tipo di token rubava segretamente il pacchetto?

Esfiltrava i refresh token di OpenAI, credenziali a lunga durata che consentono di generare nuovi token di accesso senza riautenticazione.

Come nascondeva il pacchetto il suo comportamento malevolo?

Si mascherava come interfaccia utente funzionale per il modello Codex di OpenAI, così che gli sviluppatori lo installassero e lo usassero senza sospettare attività di rete in background.

Cosa potevano fare gli attaccanti con i token di aggiornamento OpenAI rubati?

Potevano accedere persistentemente agli account OpenAI compromessi, abusare dei crediti API a pagamento, recuperare prompt memorizzati o dati di modelli perfezionati e potenzialmente muoversi lateralmente nelle risorse del team.

Pacchetto npm da 27.000 download rubava silenziosamente i token di OpenAI

Un pacchetto npm malevolo chiamato codexui-android ha trascorso un periodo sconosciuto rubando silenziosamente i token di autenticazione OpenAI dagli sviluppatori che lo installavano. Con circa 27.000 download settimanali, il pacchetto si presentava come un'interfaccia utente legittima per il modello Codex di OpenAI. Sotto quella superficie familiare, eseguiva un'operazione occulta di raccolta credenziali che i ricercatori di sicurezza ora classificano come un classico attacco alla catena di fornitura npm mirato a rubare token OpenAI su larga scala.

La scoperta è un altro forte promemoria che i registri di pacchetti non sono intrinsecamente sicuri e che la sola popolarità non è un indicatore di affidabilità.

Come codexui-android nascondeva il furto di token all'interno di un pacchetto dall'aspetto legittimo

L'attacco si basava su un inganno semplice ma efficace: costruire qualcosa che gli sviluppatori volessero effettivamente usare, per poi aggiungere logica malevola eseguita silenziosamente in background. Il pacchetto codexui-android offriva un'interfaccia funzionale per Codex di OpenAI, il che significava che gli sviluppatori lo installavano, lo testavano e lo mantenevano nei loro progetti, spesso senza mai chiedersi cosa facesse il pacchetto a livello di rete.

Questo approccio è noto come attacco tramite pacchetto trojanizzato. Il codice malevolo era incorporato in quello che sembrava uno strumento utile, aggirando il naturale scetticismo che un pacchetto palesemente non funzionante o mal realizzato susciterebbe. Il pacchetto esfiltrava i token di aggiornamento (refresh token) di OpenAI, credenziali a lunga durata che consentono alle applicazioni di richiedere nuovi token di accesso senza richiedere all'utente di effettuare nuovamente l'accesso.

Anche il nome codexui-android seguiva una convenzione di denominazione che suggeriva legittimità. Prendeva in prestito il valore del marchio Codex di OpenAI aggiungendo un suffisso specifico per piattaforma che lo faceva sembrare uno strumento appositamente creato per il mondo mobile. Gli sviluppatori che cercavano su npm strumenti legati a Codex non avrebbero avuto alcun motivo evidente per diffidarne.

Cosa consentivano effettivamente di fare i token di aggiornamento OpenAI rubati

I token di aggiornamento non sono semplici password. In molti sistemi di autenticazione, sono di fatto chiavi master. Quando un attaccante ottiene un token di aggiornamento valido, può generare nuovi token di accesso ripetutamente, mantenendo un accesso persistente a un account anche dopo che la sessione originale è terminata o la password è stata cambiata.

Per gli account OpenAI, questo accesso poteva tradursi in uso non autorizzato di crediti API a pagamento, accesso a prompt memorizzati o dati di modelli addestrati, potenziale esposizione di codice proprietario passato attraverso l'API e, in contesti aziendali, accesso laterale alle risorse del team associate allo stesso account.

Il rischio si accumula rapidamente negli ambienti di sviluppo. Gli ingegneri lavorano spesso con chiavi API e token che possiedono permessi elevati. Un singolo token di aggiornamento compromesso in una pipeline CI/CD o in un ambiente di sviluppo condiviso potrebbe dare a un attaccante un punto d'appoggio persistente difficile da rilevare e ancora più difficile da risanare completamente. Questo effetto a cascata ricorda quanto accaduto nella violazione di Dropbox Sign, dove credenziali raccolte hanno aperto percorsi verso sistemi interconnessi ben oltre il punto iniziale di compromissione.

Perché l'ecosistema npm rende facili da scalare gli attacchi alla supply chain

Il registro npm ospita oltre due milioni di pacchetti. Pubblicare un nuovo pacchetto richiede una verifica minima dell'identità, e la natura aperta del registro è proprio ciò che lo rende così utile alla comunità globale degli sviluppatori. È anche ciò che lo rende un bersaglio ricorrente per gli attaccanti alla supply chain.

Il caso codexui-android dimostra come gli attaccanti sfruttino il modello di fiducia su cui si basa lo sviluppo open-source. Gli sviluppatori generalmente presumono che un pacchetto con un numero considerevole di download abbia superato un certo livello di controllo da parte della comunità. Questa supposizione è sempre più pericolosa. I conteggi dei download possono essere gonfiati artificialmente e l'utilizzo nel mondo reale non equivale a una revisione della sicurezza.

Il problema più ampio degli attacchi alla supply chain di npm non è nuovo, ma il prendere di mira gli strumenti di IA segna un'evoluzione. Man mano che gli sviluppatori integrano le API dei modelli linguistici di grandi dimensioni nei sistemi di produzione, i token che autenticano tali integrazioni diventano obiettivi di alto valore. Gli attaccanti sono chiaramente consapevoli di questo cambiamento. I pacchetti che imitano gli strumenti per sviluppatori IA sono una categoria di minaccia emergente che la comunità della sicurezza sta ancora cercando di contrastare su larga scala.

Difesa in profondità per sviluppatori: isolamento delle credenziali, segmentazione di rete e oltre

L'incidente codexui-android indica diverse pratiche concrete che possono ridurre l'esposizione a questa classe di attacchi.

Isolamento delle credenziali è la mitigazione più immediata. I token API e i token di aggiornamento dovrebbero essere limitati al minimo ambito possibile, archiviati in gestori di segreti invece che in variabili d'ambiente o file di configurazione e ruotati regolarmente. Se un token viene rubato, un ambito limitato significa danni limitati.

Auditing delle dipendenze dovrebbe essere una parte standard di qualsiasi flusso di lavoro di sviluppo. Strumenti come npm audit, insieme a piattaforme di analisi della composizione software di terze parti, possono segnalare pacchetti con comportamenti insoliti o vulnerabilità note. Bloccare le versioni delle dipendenze nei file package-lock e rivedere le modifiche prima di accettare gli aggiornamenti riduce anche l'esposizione a inserimenti di versioni malevole.

Monitoraggio del traffico di rete in uscita può rilevare tentativi di esfiltrazione che gli strumenti di audit non intercettano. Se un ambiente di sviluppo o una pipeline CI/CD è configurato per generare allarmi su connessioni in uscita impreviste, un pacchetto che tenta di contattare l'esterno con token rubati diventa rilevabile.

Il principio del privilegio minimo si applica a ogni livello. Le macchine di sviluppo non dovrebbero essere eseguite con credenziali che concedono accesso a livello di produzione. Le pipeline CI/CD dovrebbero utilizzare token a breve durata generati al runtime piuttosto che segreti archiviati a lungo termine.

Infine, rivedere i propri pacchetti installati per qualsiasi cosa che interagisca con i flussi di autenticazione è un esercizio utile in questo momento. È improbabile che l'incidente codexui-android rimanga isolato. Verifica cosa c'è nella tua cartella node_modules, controlla quali permessi possiedono i tuoi token API e tratta qualsiasi pacchetto che tocchi l'archiviazione delle credenziali con la massima attenzione.

Gli attacchi alla supply chain hanno successo perché sfruttano la fiducia su larga scala. Ricostruire quella postura di sicurezza una dipendenza alla volta, a partire dalle credenziali più sensibili nel proprio stack, è la risposta più pratica oggi a disposizione dei singoli sviluppatori.