Les chercheurs ont révélé une nouvelle campagne malveillante de chaîne d’approvisionnement ciblant les développeurs utilisant OpenAI Codex via un outil d’interface utilisateur Web à distance d’apparence légitime connu sous le nom de codexui-android. Le package, annoncé sur GitHub et npm, a recueilli plus de 29 000 téléchargements hebdomadaires et reste accessible au public en téléchargement.
Cette campagne est remarquable car elle intègre du code malveillant dans un package npm entièrement fonctionnel qui a été activement développé, le référentiel GitHub associé semblant propre. « Au cours du mois dernier, chaque invocation a discrètement exfiltré vos jetons d’authentification Codex vers un serveur contrôlé par un attaquant », a déclaré Charlie Eriksen, chercheur chez Aikido Security.
Le code malveillant semble avoir été introduit environ un mois après la publication initiale du package, probablement pour renforcer la confiance des utilisateurs et élargir sa portée. Le compte npm lié au package est « friuns », qui est lié à Igor Levochkin.
Le code intégré extrait le fichier « ~/.codex/auth.json » du Codex et l’envoie à un serveur distant se faisant passer pour Sentry dans « sentry.anyclaw[.]store ». Les données capturées incluent le jeton d’accès, le jeton d’actualisation, le jeton d’identification et l’ID de compte. « Le rafraîchissement_token n’expire pas », a noté Eriksen, indiquant des capacités d’accès non autorisé en cours. « Un attaquant qui le détient peut se faire passer pour vous indéfiniment. »
OpenAI avertit les utilisateurs de traiter le fichier auth.json comme un mot de passe. Les informations de connexion sont mises en cache localement en texte brut ou via un magasin d’informations d’identification spécifique au système d’exploitation, ce qui soulève d’autres problèmes de sécurité.
Outre le package npm, les chercheurs d’Aikido ont également identifié une application Android nommée OpenClaw Codex Claude AI Agent qui utilise le package npm malveillant pour exfiltrer les informations d’identification. L’application OpenClaw, avec une petite taille d’APK de 26 Mo, apparaît propre dans les analyses de pré-publication et exécute le package npm dans un bac à sable PRoot.
La chaîne d’exfiltration est active depuis la version [email protected], qui extrait automatiquement les mises à jour de npm. « La version n’est pas épinglée, donc l’appareil extrait tout ce qui est actuellement publié sur npm », a expliqué Eriksen. La même méthode d’exfiltration a également été observée dans une autre application Android liée au développeur BrutalStrike, nommée Codex, qui compte plus de 10 000 téléchargements. Les trois autres applications du développeur ne contiennent pas cette fonctionnalité malveillante.
Aikido a contacté l’auteur du package npm sur GitHub. Initialement, ils ont affirmé avoir perdu l’accès à leur compte npm, mais ont déclaré plus tard qu’ils enquêtaient sur le problème et avaient commencé à supprimer la fonctionnalité concernée. Ils ont affirmé qu’aucune donnée d’identification n’avait été partagée avec des tiers, mais n’ont pas expliqué pourquoi le code malveillant était inclus ni la nécessité des jetons Codex.
Les enquêtes sur les enregistrements de domaines ont révélé que « anyclaw[.]store », lié à l’auteur, a été enregistré peu de temps après le téléchargement de la première version du package npm, plus précisément le 12 avril 2026. Cette évolution met en évidence une tendance plus large d’adversaires exploitant les outils de développement d’IA pour voler des informations d’identification et infiltrer la chaîne d’approvisionnement logicielle.
De plus, des chercheurs belges en sécurité ont découvert que les clés API Google supprimées peuvent rester actives jusqu’à 23 minutes, ce qui présente une faille de sécurité. Google a initialement rejeté le problème comme étant un problème non lié à la sécurité, mais l’a ensuite classé comme critique. Des retards similaires dans la révocation des informations d’identification ont été constatés avec les clés d’accès AWS, soulignant des vulnérabilités exploitables dans les environnements cloud.
