文章总结： AikidoSecurity于2026年5月披露npm包codexui-android存在供应链攻击，该工具每周下载量达2.7万次，通过隐藏脚本窃取用户OpenAI访问令牌和永久有效的刷新令牌。攻击者将恶意代码嵌入npm包而非公开代码库，并伪装成Sentry遥测数据外泄至恶意端点。相关恶意应用已上架GooglePlay，研究人员建议开发者警惕AI工具中的隐蔽攻击载体。 综合评分： 85 文章分类： 供应链安全,恶意软件,漏洞预警,移动安全,安全运营

每周下载量超2.7万次的Codex UI工具暗中窃取OpenAI刷新令牌

FreeBuf

2026年6月1日 18:00 上海

在小说阅读器读本章

去阅读

2026年5月27日，Aikido Security公开披露了关于恶意npm包codexui-android的研究。这款广受移动开发者欢迎的软件工具被证实会窃取身份验证令牌。该工具是OpenAI Codex（一个能编写代码的人工智能模型）的远程网页用户界面，每周下载量高达约2.7万次。

Aikido Security研究员Charlie Eriksen发现，该软件包上月实施了供应链攻击以窃取用户数据。

Part01

隐匿于正常功能之中

攻击者并未使用域名仿冒或账户劫持等常见手段，而是开发了一个真正实用的工具。此举很可能是为了在武器化工具前建立真实用户群。更隐蔽的是，恶意代码并未出现在公开的GitHub仓库中，仅存在于发布的npm包内，这意味着常规的源代码审计必然会遗漏该威胁。

攻击在模块加载时立即触发。dist-cli/index.js文件的首行会导入名为chunk-PUR7OUAG.js的隐藏脚本，该脚本会快速检测本地凭证。若发现凭证，便会启动数据外泄程序，从auth.json文件中窃取access_token、id_token、账户ID及refresh_token。尤为严重的是，refresh_token不会过期，攻击者可借此永久冒充受害者身份。

为隐藏网络流量，代码将窃取的数据发送至名为sentry.anyclawstore的服务端节点，此举旨在伪装成正常的Sentry错误报告遥测数据。在隐藏的源码映射中，作者甚至留下了明确注释：”始终将令牌发送至我们的startlog端点”。

Part02

针对移动设备的定向攻击

研究团队指出，该威胁行为者还将Android移动设备列为攻击目标。攻击者以BrutalStrike开发者身份在Google Play商店发布应用，该账号名下还拥有一款下载量超500万的合法手机游戏。

两款特定应用，即付费效率工具codex.app和”OpenClaw Codex Claude AI Agent”，均包含相同的恶意基础设施。

这些Android应用能轻易通过Google发布前的安全扫描，因为初始26MB的APK文件看起来完全无害。安装后，应用会将基于Termux的Linux用户空间解压至私有存储，并通过PRoot启动Node.js，随后执行命令安装最新版npm包：pnpm add codexui-android@latest。自[email protected]版本起，数据外泄行为便已存在。

当Eriksen联系开发者对质时，对方短暂发布声明称其失去了npm账户访问权限，随后迅速删除该声明，转而发布公司声明否认存在凭证窃取行为。

截至发稿，该恶意软件包及相关应用仍在线上运行。研究人员总结道：”AI开发工具正成为高价值目标，正因为这些令牌权限高且有效期长…威胁行为者投入真实精力构建可信、有用的项目作为掩护。这种合法性本身正是攻击载体。随着AI工具激增和开发者追求效率捷径，此类事件将愈发频繁。”

参考来源：

27,000-Download Codex UI Tool Secretly Stole OpenAI Refresh Tokens

27,000-Download Codex UI Tool Secretly Stole OpenAI Refresh Tokens

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《每周下载量超2.7万次的Codex UI工具暗中窃取OpenAI刷新令牌》