Hva var navnet på den ondsinnede npm-pakken som stjal OpenAI-tokens?

Den ondsinnede pakken het “codexui-android”.

Hvor mange ukentlige nedlastinger hadde codexui-android?

Den hadde omtrent 27 000 ukentlige nedlastinger, noe som indikerer bred distribusjon.

Hva slags tokens stjal pakken i hemmelighet?

Den eksfiltrerte OpenAI-oppdateringstokener, som er langvarige påloggingsdetaljer som muliggjør generering av nye tilgangstokener uten ny autentisering.

Hvordan skjulte pakken sin ondsinnede oppførsel?

Den utga seg for å være et funksjonelt brukergrensesnitt for OpenAIs Codex-modell, slik at utviklere ville installere og bruke den uten å mistenke bakgrunnsnettverksaktivitet.

Hva kunne angripere gjøre med stjålne OpenAI-oppdateringstokener?

De kunne vedvarende få tilgang til kompromitterte OpenAI-kontoer, misbruke betalte API-kreditter, hente lagrede ledetekster eller finjusterte modelldata, og potensielt bevege seg sideveis inn i teamressurser.

npm-pakke med 27 000 nedlastinger stjal OpenAI-tokens i det stille

En ondsinnet npm-pakke kalt codexui-android brukte en ukjent periode på å stille stjele OpenAI-autentiseringstokener fra utviklerne som installerte den. Med omtrent 27 000 ukentlige nedlastinger, presenterte pakken seg som et legitimt brukergrensesnitt for OpenAIs Codex-modell. Under den kjente fasaden drev den en skjult innsamlingsoperasjon for påloggingsinformasjon som sikkerhetsforskere nå klassifiserer som et skoleeksempel på et npm-forsyningskjedeangrep rettet mot OpenAI-tokens i stor skala.

Oppdagelsen er nok en skarp påminnelse om at pakkeregistre ikke er iboende trygge, og at popularitet alene ikke er noen indikator på pålitelighet.

Hvordan codexui-android skjulte token-tyveri i en tilsynelatende legitim pakke

Angrepet baserte seg på et enkelt, men effektivt bedrag: bygg noe utviklere faktisk ønsker å bruke, og legg deretter til ondsinnet logikk som kjører i det stille i bakgrunnen. Pakken codexui-android tilbød et funksjonelt grensesnitt for OpenAIs Codex, noe som innebar at utviklere installerte den, testet den og beholdt den i prosjektene sine, ofte uten noen gang å stille spørsmål ved hva pakken gjorde på nettverkslaget.

Denne tilnærmingen er kjent som et trojanisert pakkeangrep. Den ondsinnede koden var innebygd i det som så ut til å være et nyttig verktøy, og omgikk den naturlige skepsisen som en åpenbart ikke-funksjonell eller dårlig bygget pakke ville ha invitert til. Pakken eksfiltrerte OpenAI-oppdateringstokener, de langvarige påloggingsdetaljene som lar applikasjoner be om nye tilgangstokener uten å kreve at en bruker logger inn på nytt.

Navnet codexui-android fulgte også en navnekonvensjon som antydet legitimitet. Det lånte merkevarekapital fra OpenAIs Codex-produkt og la til et plattformspesifikt suffiks som fikk den til å virke som et spesialbygd mobilrelatert verktøy. Utviklere som søkte på npm etter Codex-relatert verktøy, ville ikke ha hatt noen åpenbar grunn til å mistro den.

Hva stjålne OpenAI-oppdateringstokener faktisk lar angripere gjøre

Oppdateringstokener er ikke bare passord. I mange autentiseringssystemer er de i praksis hovednøkler. Når en angriper får tak i en gyldig oppdateringstoken, kan de generere nye tilgangstokener gjentatte ganger, opprettholde vedvarende tilgang til en konto selv etter at den opprinnelige økten er avsluttet eller passordet er endret.

For OpenAI-kontoer kan denne tilgangen innebære uautorisert bruk av betalte API-kreditter, tilgang til lagrede ledetekster eller finjusterte modelldata, potensiell eksponering av proprietær kode som er sendt gjennom API-et, og i organisatoriske sammenhenger, sideveis tilgang til teamressurser knyttet til den samme kontoen.

Risikoen øker raskt i utviklermiljøer. Ingeniører jobber ofte med API-nøkler og tokens som har utvidede tillatelser. En enkelt kompromittert oppdateringstoken i en CI/CD-pipeline eller et delt utviklingsmiljø kan gi en angriper et vedvarende fotfeste som er vanskelig å oppdage og enda vanskeligere å fullstendig utbedre. Denne kaskadeeffekten speiler det som skjedde i Dropbox Sign-bruddet, der innsamlede påloggingsdetaljer åpnet veier inn i sammenkoblede systemer langt utover det opprinnelige kompromitteringspunktet.

Hvorfor npm-økosystemet gjør forsyningskjedeangrep enkle å skalere

npm-registeret inneholder over to millioner pakker. Å publisere en ny pakke krever minimal identitetsverifisering, og registerets åpne natur er nettopp det som gjør det så nyttig for det globale utviklerfellesskapet. Det er også det som gjør det til et gjentakende mål for forsyningskjedeangripere.

Saken codexui-android demonstrerer hvordan angripere utnytter tillitsmodellen som ligger til grunn for åpen kildekode-utvikling. Utviklere antar generelt at en pakke med betydelige nedlastingstall har overlevd et visst nivå av samfunnsmessig granskning. Den antakelsen blir stadig farligere. Nedlastingstall kan kunstig inflateres, og reell bruk innebærer ikke sikkerhetsgjennomgang.

Det bredere problemet med forsyningskjedeangrep i npm er ikke nytt, men målrettingen av AI-verktøy markerer en utvikling. Etter hvert som utviklere integrerer store språkmodellers API-er i produksjonssystemer, blir tokenene som autentiserer disse integrasjonene høyverdige mål. Angripere er tydeligvis klar over dette skiftet. Pakker som etterligner AI-utviklerverktøy er en fremvoksende trusselkategori som sikkerhetsmiljøet fortsatt jobber med å motvirke i stor skala.

Forsvar i dybden for utviklere: påloggingsisolering, nettverkssegmentering og mer

Hendelsen med codexui-android peker på flere konkrete praksiser som kan redusere eksponeringen for denne typen angrep.

Påloggingsisolering er den mest umiddelbare avbøtende tiltaket. API-tokens og oppdateringstokener bør ha så smal tilgang som mulig, lagres i hemmelighetsforvaltere i stedet for miljøvariabler eller konfigurasjonsfiler, og roteres jevnlig. Hvis en token blir stjålet, betyr begrenset tilgang begrenset skade.

Avhengighetsrevisjon bør være en standard del av enhver utviklingsarbeidsflyt. Verktøy som npm audit, sammen med tredjeparts plattformer for analyse av programvaresammensetning, kan flagge pakker med uvanlig oppførsel eller kjente sårbarheter. Å låse avhengighetsversjoner i package-lock-filer og gjennomgå endringer før oppdateringer aksepteres, reduserer også eksponeringen for ondsinnede versjonsdytt.

Overvåking av nettverksutgående trafikk kan fange opp eksfiltreringsforsøk som revisjonsverktøy går glipp av. Hvis et utviklingsmiljø eller en CI/CD-pipeline er konfigurert til å varsle om uventede utgående tilkoblinger, blir en pakke som forsøker å ringe hjem med stjålne tokens oppdagbar.

Prinsippet om minste privilegium gjelder på alle nivåer. Utviklingsmaskiner bør ikke kjøre med påloggingsdetaljer som gir tilgang på produksjonsnivå. CI/CD-pipelines bør bruke kortvarige tokens generert ved kjøretid i stedet for lagrede, langsiktige hemmeligheter.

Til slutt, å gjennomgå dine egne installerte pakker for alt som berører autentiseringsflyter er en verdifull øvelse akkurat nå. Hendelsen med codexui-android er neppe isolert. Revisjon av hva som er i dine node_modules, sjekk hvilke tillatelser API-tokenene dine har, og behandle enhver pakke som berører påloggingslagring med ekstra granskning.

Forsyningskjedeangrep lykkes fordi de utnytter tillit i stor skala. Å gjenoppbygge den sikkerhetsholdningen én avhengighet om gangen, og starte med de mest sensitive påloggingsdetaljene i systemet ditt, er den mest praktiske responsen som er tilgjengelig for individuelle utviklere i dag.