Descoberta e escopo do ataque à cadeia de suprimentos
Um pacote npm funcional e polido foi identificado secretamente roubando tokens de autenticação do OpenAI Codex de desenvolvedores que confiaram nele. O pacote, chamado codexui-android, apresentava-se como uma interface web remota para o OpenAI Codex sem sinais óbvios de ser malicioso. Ele construiu uma base de usuários genuína, acumulando 27.000 downloads semanais, enquanto drenava credenciais em segundo plano.
A ameaça estava ativa por cerca de um mês antes da detecção. Cada versão publicada continha código oculto que disparava no momento em que a ferramenta era iniciada, sem interação do usuário. A lógica maliciosa executava antes de qualquer código de aplicação, dando acesso total aos arquivos de autenticação armazenados desde a inicialização.
Análise técnica detalhada
O código de exfiltração visava o arquivo auth.json armazenado no diretório home do usuário do Codex. Uma vez encontrado, o conteúdo era criptografado com XOR usando a chave "anyclaw2026", codificado em base64 e enviado silenciosamente para um servidor controlado pelo atacante. O endpoint foi nomeado para se assemelhar a uma conexão legítima de relatório de erros Sentry, tornando fácil de ignorar durante o monitoramento de rede rotineiro.
O que tornou esta campanha alarmante foi a completude do roubo. O pacote capturou o token de acesso, token de atualização, token de ID e ID da conta em uma única varredura. Como os tokens de atualização não expiram, um atacante que os detém poderia silenciosamente se passar pela vítima indefinidamente.
Extensão para aplicativos Android
O pacote npm não era o único canal de entrega. O mesmo autor publicou um aplicativo Android no Google Play chamado "OpenClaw Codex Claude AI Agent" que puxava automaticamente a compilação maliciosa do npm sempre que era iniciado. Um segundo aplicativo no Play Store, "Codex", uma ferramenta de produtividade paga com mais de 10.000 instalações, usava a mesma base de código e cadeia de exfiltração.
O aplicativo Android parecia limpo nas varreduras pré-publicação e pesava apenas 26 MB. No primeiro lançamento, ele extraía um ambiente Linux para armazenamento privado, executava o Node.js dentro dele e instalava o pacote malicioso do npm sem fixar uma versão. Isso significava que qualquer dispositivo executando o aplicativo puxaria a compilação maliciosa atual do registro.
Medidas de mitigação recomendadas
Desenvolvedores que usaram codexui-android ou qualquer aplicativo associado devem revogar e rotacionar imediatamente suas credenciais do OpenAI Codex. O monitoramento de conexões de saída para sentry.anyclaw.store é fortemente recomendado, pois é o endpoint de exfiltração confirmado.
- Revogar e rotacionar credenciais do OpenAI Codex.
- Monitorar conexões de saída para sentry.anyclaw.store.
- Verificar pacotes npm instalados em busca de codexui-android.
- Auditar aplicativos Android instalados em busca de gptos.intelligence.assistant.
Implicações para segurança de desenvolvedores
Este incidente destaca os riscos de dependências de terceiros em ferramentas de desenvolvimento. A legitimidade do projeto tornou-se o vetor de ataque, exigindo que os desenvolvedores verifiquem não apenas o código, mas também o comportamento de rede de pacotes instalados.
Perguntas frequentes
Como saber se meu código foi comprometido? Verifique se há conexões de rede para domínios suspeitos ou arquivos auth.json modificados.
Devo desinstalar o pacote? Sim, remova imediatamente o pacote codexui-android de todos os ambientes de desenvolvimento.