Pacote npm para Codex com 27 mil downloads roubava tokens da OpenAI em silêncio
Aprofundamento CEVIU
Aprofundamento
O pacote codexui-android não era apenas mais um roubo de tokens: era uma operação coordenada que cruzava npm, Android e PRoot para contornar todas as camadas de proteção. Ele roubava refresh_token da OpenAI, um credencial que não expira e permite acesso contínuo à API, mesmo após a troca de senha da vítima. O código malicioso chunk-PUR7OUAG.js foi injetado apenas no artefato publicado no npm, sem rastro no repositório GitHub, o que invalida revisões de código e escaneamentos estáticos baseados em fonte. O domínio sentry.anyclaw.store, registrado em 12 de abril de 2026, foi criado dois dias após a primeira versão do pacote (0.1.72), indicando planejamento prévio, não um ataque oportunista. Além disso, o mesmo operador distribuía apps Android com mais de 60 mil downloads totais que executavam esse pacote via PRoot, transformando dispositivos móveis em pontos de exfiltração silenciosa.
Isso coloca o caso no centro de uma nova tática de cadeia de suprimentos: não só comprometer dependências, mas usar múltiplos ecossistemas (npm + Android + PRoot) como um único vetor unificado. Diferente de ataques anteriores que focavam em um repositório ou linguagem, aqui o atacante explora a confiança cruzada entre ferramentas de desenvolvimento, ambientes de execução não convencionais e canais de distribuição alternativos, tudo com o objetivo de manter o payload fora do alcance de scanners tradicionais.
O que mudou
Na cobertura anterior sobre os pacotes da Red Hat comprometidos pelo Miasma (04/06/2026), o ataque ainda dependia do comprometimento de uma conta GitHub e da exploração de OIDC no GitHub Actions. Já no codexui-android, não houve invasão de conta nem abuso de CI/CD: o mantenedor publicou o pacote legítimo, e o malware foi inserido diretamente no artefato empacotado, uma técnica chamada build-time injection. Isso significa que o código malicioso não aparece em nenhuma etapa do fluxo de desenvolvimento visível, só no momento da instalação. Também é a primeira vez em 2026 que vemos essa mesma infraestrutura de exfiltração (domínio anyclaw.store) sendo usada tanto em aplicações Android quanto em pacotes npm, evidenciando uma operação unificada, não isolada.
Por que isso importa
Desenvolvedores que usam Codex ou integrações com a API da OpenAI estão expostos a um risco crítico: o refresh_token roubado dá acesso irrestrito ao histórico de prompts, dados enviados à API e até ao contexto de sessões ativas, sem necessidade de engenharia social adicional. Empresas que permitem uso não controlado de bibliotecas de terceiros para IA correm risco direto de vazamento de IP corporativo, trechos de código-fonte e dados sensíveis processados via Codex. Ainda pior: a divergência entre repositório e pacote publicado não é mais um sinal de alerta genérico, é agora um indicador confirmado de ataque ativo na cadeia de suprimentos, exigindo verificação de integridade de artefatos antes de cada instalação, não só de código-fonte.
Linha do tempo
Campanha TrapDoor compromete 34 pacotes em npm, PyPI e Crates.io
Ataque à cadeia de suprimentos compromete 233 versões de pacotes Laravel-Lang
Comprometimento de imagens Docker e extensões VS Code do Checkmarx KICS
Pacotes npm da Red Hat infectados pelo malware Miasma
Descoberta do pacote codexui-android extraindo tokens da OpenAI via npm e Android
Perguntas frequentes
Como saber se meu projeto foi afetado pelo codexui-android?
Verifique se seu projeto usa o pacote npm 'codexui-android' (qualquer versão >= 0.1.82). Se sim, revogue imediatamente todos os tokens da OpenAI armazenados em ~/.codex/auth.json. Mesmo que você não tenha instalado manualmente, busque por dependências indiretas com 'npm ls codexui-android' ou 'yarn list codexui-android'.
Por que o refresh_token da OpenAI é tão perigoso?
Diferente do access_token, que expira em minutos, o refresh_token não tem data de validade e permite gerar novos access_tokens indefinidamente. Uma vez roubado, o atacante pode acessar sua conta da OpenAI continuamente, mesmo se você trocar sua senha ou deslogar de todos os dispositivos.
O que posso fazer além de revogar tokens?
Remova o pacote imediatamente e escaneie seu ambiente de desenvolvimento com ferramentas como Trivy ou Socket para detectar outros pacotes suspeitos. Configure políticas de bloqueio de instalação de pacotes não assinados ou sem proveniência clara. Evite usar bibliotecas que armazenem credenciais em texto simples, como faz o Codex.
Esse ataque tem ligação com a campanha Miasma ou TrapDoor?
Não há ligação técnica direta com TrapDoor, mas há convergência tática com Miasma: ambos usam injeção em tempo de build e alvo em tokens de nuvem. O codexui-android, porém, opera com infraestrutura própria (domínio anyclaw.store) e não compartilha código ou C2 com Miasma, segundo análise da Aikido Security e Socket.
Fontes
- hackread.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 02 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
