Onderzoekers hebben een nieuwe kwaadaardige supply chain-campagne onthuld die zich richt op ontwikkelaars die OpenAI Codex gebruiken via een legitiem ogende externe web-UI-tool die bekend staat als codexui-android. Het pakket, dat wordt geadverteerd op GitHub en npm, is wekelijks meer dan 29.000 keer gedownload en blijft publiekelijk beschikbaar om te downloaden.
Deze campagne valt op omdat het kwaadaardige code insluit in een volledig functioneel npm-pakket dat actief is ontwikkeld, waarbij de bijbehorende GitHub-repository er schoon uitziet. “De afgelopen maand heeft elke afzonderlijke aanroep stilletjes uw Codex-authenticatietokens naar een door de aanvaller bestuurde server geëxfiltreerd”, zegt Charlie Eriksen, een onderzoeker bij Aikido Security.
De kwaadaardige code lijkt ongeveer een maand na de eerste publicatie van het pakket te zijn geïntroduceerd, mogelijk om het vertrouwen van de gebruiker op te bouwen en het bereik ervan te vergroten. Het npm-account dat aan het pakket is gekoppeld, is ‘friuns’, dat is gekoppeld aan Igor Levochkin.
De ingebedde code extraheert het bestand “~/.codex/auth.json” uit Codex en verzendt het naar een externe server die zich voordoet als Sentry in “sentry.anyclaw[.]store.” Vastgelegde gegevens omvatten toegangstoken, vernieuwingstoken, id-token en account-ID. “Het refresh_token verloopt niet”, merkte Eriksen op, waarmee hij aangaf dat er nog steeds ongeautoriseerde toegang mogelijk is. “Een aanvaller die het vasthoudt, kan zich voor onbepaalde tijd in stilte voordoen als jou.”
OpenAI waarschuwt gebruikers om het auth.json-bestand als een wachtwoord te behandelen. Inloggegevens worden lokaal in de cache opgeslagen in leesbare tekst of via een besturingssysteemspecifiek inloggegevensarchief, wat verdere veiligheidsproblemen met zich meebrengt.
Naast het npm-pakket hebben Aikido-onderzoekers ook een Android-applicatie geïdentificeerd met de naam OpenClaw Codex Claude AI Agent, die het kwaadaardige npm-pakket gebruikt om inloggegevens te exfiltreren. De OpenClaw-app, met een kleine APK-grootte van 26 MB, lijkt schoon in pre-publicatiescans en voert het npm-pakket uit in een PRoot-sandbox.
De exfiltratieketen is actief sinds versie [email protected], die automatisch updates van npm haalt. “De versie is niet vastgezet, dus het apparaat haalt alles op wat momenteel op npm is gepubliceerd”, legt Eriksen uit. Dezelfde exfiltratiemethode werd ook waargenomen in een andere Android-app die verbonden was met de ontwikkelaar BrutalStrike, genaamd Codex, die meer dan 10.000 downloads heeft. De overige drie apps van de ontwikkelaar bevatten deze kwaadaardige functionaliteit niet.
Aikido nam contact op met de auteur van het npm-pakket op GitHub. Aanvankelijk beweerden ze de toegang tot hun npm-account te hebben verloren, maar later verklaarden ze dat ze het probleem onderzoeken en zijn begonnen met het verwijderen van de getroffen functionaliteit. Ze beweerden dat er geen inloggegevens met derden waren gedeeld, maar legden niet uit waarom de kwaadaardige code was opgenomen of de noodzaak van Codex-tokens.
Uit onderzoek naar domeinregistraties is gebleken dat “anyclaw[.]store”, gekoppeld aan de auteur, werd geregistreerd kort nadat de eerste versie van het npm-pakket was geüpload, met name op 12 april 2026. Deze ontwikkeling benadrukt een bredere trend van tegenstanders die AI-ontwikkeltools misbruiken om inloggegevens te stelen en de softwaretoeleveringsketen te infiltreren.
Bovendien ontdekten Belgische beveiligingsonderzoekers dat verwijderde Google API-sleutels tot 23 minuten actief kunnen blijven, wat een beveiligingsprobleem vormt. Google deed het probleem aanvankelijk af als een niet-beveiligingsprobleem, maar classificeerde het later als kritiek. Soortgelijke vertragingen bij het intrekken van inloggegevens zijn waargenomen bij AWS-toegangssleutels, wat de exploiteerbare kwetsbaarheden binnen cloudomgevingen onderstreept.
