Пакет codexui-android в реестре npm выглядел как нормальный инструмент: GitHub-репозиторий с историей коммитов, стабильные обновления, около 29 000 скачиваний в неделю. Разработчики устанавливали его, чтобы получить веб-интерфейс для OpenAI Codex. Параллельно пакет читал файл ~/.codex/auth.json и отправлял содержимое на сервер злоумышленника.
Из файла уходили access-токен, refresh-токен, ID-токен и идентификатор аккаунта. Чарли Эриксен, исследователь компании Aikido Security, которая обнаружила атаку, объясняет главную проблему: refresh-токен не истекает. Тот, кто его получил, может бесконечно представляться вами в системе OpenAI.
Данные отправлялись на домен sentry.anyclaw[.]store — название выбрано специально, чтобы имитировать Sentry, популярный сервис мониторинга ошибок. Вредоносный код появился только в npm-сборке — GitHub-репозиторий оставался чистым. Классический приём: сначала набрать доверие, потом внедрить payload.
npm был не единственным вектором. Aikido нашла два Android-приложения в Google Play от разработчика BrutalStrike: OpenClaw Codex Claude AI Agent (50 000+ загрузок) и Codex (10 000+). Оба запускали тот же npm-пакет внутри PRoot-окружения и не фиксировали версию — значит, вредоносный код прилетал к мобильным пользователям автоматически, сразу после публикации.
Суммарный охват: около 29 000 еженедельных npm-установок и свыше 60 000 мобильных загрузок.
npm-аккаунт принадлежит пользователю «friuns», которого Aikido идентифицировала как Игоря Левочкина. Когда его спросили об этом на GitHub, он сначала заявил, что потерял доступ к аккаунту, потом отредактировал ответ на «расследуем внутри». Домен anyclaw[.]store, куда уходили токены, указан прямо в его профиле в X.
Атака вписывается в нарастающую волну угроз для экосистемы AI-инструментов: месяцем ранее группа TeamPCP через отравленное расширение VS Code взломала внутренние репозитории GitHub — было похищено содержимое 3 800 репо, а также данные из 1Password и конфигурации Claude Code. Токены аутентификации AI-инструментов хранятся в открытом тексте и становятся всё более привлекательной целью для атак на цепочку поставок.
