Ανησυχητική Ασφάλεια: Κακόβουλο Πακέτο npm Κλέβει Διαπιστευτήρια από Αναπτυξιακούς Χρήστες OpenAI Codex
Μια νέα απειλή στον κόσμο της τεχνολογίας αποκαλύπτεται, καθώς ένα φαινομενικά αθώο πακέτο npm έχει εντοπιστεί να κλέβει κρυφά τα διαπιστευτήρια των χρηστών του OpenAI Codex. Αυτή η υπόθεση αναδεικνύει σοβαρά ζητήματα ασφάλειας για τους προγραμματιστές που χρησιμοποιούν εργαλεία τεχνητής νοημοσύνης.
Η Επιβίωση του Κλέφτη: Το Πακέτο CodexUI
Το κακόβουλο πακέτο, γνωστό ως codexui-android, παρουσιάστηκε ως απομακρυσμένη διεπαφή για το OpenAI Codex. Χωρίς να αποκαλύπτει τις επικίνδυνες προθέσεις του, κατάφερε να δημιουργήσει μια κοινότητα χρηστών με 27.000 εβδομαδιαίες λήψεις και ενεργό GitHub repository.
Το Στρατηγικό Σχέδιο πίσω από την Κλοπή Διαπιστευτηρίων
Από την αρχική του εκτόξευση, το πακέτο περιείχε έναν κρυφό κώδικα που ενεργοποιούνταν αυτόματα τη στιγμή που το εργαλείο εκκινούσε. Αυτή η πρακτική του επιτρέπουν πλήρη πρόσβαση στα αρχεία διαπιστευτηρίων, καθιστώντας το εξαιρετικά επικίνδυνο.
Η απειλή αυτή, ως εκ των πραγμάτων, παραμένει κρυφή στους παραδοσιακούς ελέγχους κώδικα, διότι ο κώδικας κλοπής ήταν καλά κρυμμένος μέσα στο διανεμημένο πακέτο.
Δημιουργία Ψευδούς Ασφάλειας
Με τη χρήση ενός ψεύτικου καθορισμού για μια νόμιμη σύνδεση Sentry, η κλοπή αυτή ήταν δύσκολο να ανιχνευθεί από τους προγραμματιστές που ελέγχουν την πηγή του κώδικα. Η επιτυχία αυτής της κακόβουλης επιχείρησης βασίζεται στη δυνατότητα μεταμφίεσης.
Η Επέκταση της Κακόβουλης Επίθεσης μέσω Εφαρμογών Android
Η κακόβουλη δραστηριότητα δεν περιορίστηκε στα πακέτα npm. Οι υπεύθυνοι κυκλοφόρησαν και μια εφαρμογή Android στο Google Play, με την ονομασία OpenClaw Codex Claude AI Agent, η οποία ενσωμάτωνε τη δυνατότητα λήψης του κακόβουλου npm build κατά την εκκίνηση.
Αναμένονται περαιτέρω επιθέσεις, που συνδυάζουν πραγματικά, χρήσιμα εργαλεία για να παραπλανούν προγραμματιστές και να εκμεταλλεύονται αδυναμίες στην ασφάλεια των εφαρμογών.
Αναγκαία Τα Μέτρα Προστασίας
Όσοι έχουν χρησιμοποιήσει το codexui-android ή οποιαδήποτε συναφή εφαρμογή πρέπει να ανακαλέσουν άμεσα τα διαπιστευτήριά τους για το OpenAI Codex. Αξιοσημείωτο είναι ότι η παρακολούθηση εξερχόμενων συνδέσεων στο sentry.anyclaw.store είναι κρίσιμη για την αποφυγή του κινδύνου.
Δείκτες Συμβιβασμού (IoCs)
| Τύπος | Δείκτης | Περιγραφή |
|---|---|---|
| Πεδίο ορισμού | guardian.anyclaw[.]store | Τελικό σημείο διακομιστή διίθσυσης ελεγχόμενο από εισβολείς |
| Διαδρομή URL | /startlog | Τελικό σημείο εξαγωγής POST στον διακομιστή C2 |
| Όνομα αρχείου | chunk-PUR7OUAG.js | Κακόβουλο κομμάτι JavaScript που περιέχει τη λογική εξαγωγής |
| Όνομα αρχείου | auth.json | Στοχευμένο αρχείο διαπιστευτηρίων (αποθηκεύει διακριτικά Codex OAuth) |
| Πακέτο npm | codexui-android | Κακόβουλο πακέτο npm που παραδίδει το token stealer |
| Έκδοση πακέτου npm | [email protected] | Η πρώτη έκδοση επιβεβαιώθηκε ότι περιέχει τον κωδικό διίθσυσης |
Σημείωμα: Οι διευθύνσεις IP και οι τομείς έχουν μετατραπεί σκόπιμα (π.χ. [.]) για προστασία από τυχαία ανάλυση. Χρησιμοποιήστε τους με υπευθυνότητα.
Η Άποψη του TechNoid.gr
Η συγκεκριμένη απειλή αναδεικνύει την ανάγκη για μεγαλύτερη προσοχή και αυστηρότερες διαδικασίες ελέγχου. Με την αύξηση της χρήσης εργαλείων όπως το OpenAI Codex, οι προγραμματιστές θα πρέπει να είναι σε εγρήγορση απέναντι σε κακόβουλες επιθέσεις που μπορούν να εκμεταλλευτούν την επιθυμία τους για αποδοτικότητα. Η αλλαγή πολιτικών ασφαλείας θα πρέπει να εξεταστεί ώστε να διασφαλιστεί η προστασία των δεδομένων και των διαπιστευτηρίων τους.
