- Codex UIツールを装った悪意あるnpmパッケージを研究者が発見
- 攻撃者は有効期限のないリフレッシュトークンを含むCodex認証トークンを窃取
- Aikido SecurityはCodexユーザーを標的とする2つのAndroidアプリも発見
新たに発見されたnpmに対するサプライチェーン攻撃が、OpenAI Codexを利用するソフトウェア開発者を標的にしています。
Codexは、コードの記述・レビュー、バグ修正、テスト実行などを担うOpenAIのコーディングアシスタント兼ソフトウェアエンジニアリングエージェントです。自然言語の指示だけで、開発者のソフトウェア構築を強力にサポートします。
最近、GitHubとnpmの両方で公開されていたあるツールが、実は悪意のあるものだったことが明らかになりました。「codexui-android」という名称のこのツールは、Codexプラットフォーム向けのリモートWebユーザーインターフェースとして説明されていました。週間ダウンロード数は2万9,000件を超えるほど人気を集めており、宣伝通りに機能して正規のツールに見えたことが人気の一因でした。GitHub上に公開されたコードは終始「クリーン」な状態を保っており、公開ソースコードには悪意ある動作の痕跡は一切ありませんでした。
潜む悪意
しかし、公開からおよそ1カ月後、このツールはnpm上でアップデートを受け、情報窃取コードが追加されました。主な標的はOpenAIのログイン認証情報でした。
開発者がこのツールを実行すると、Codexの認証トークンが探索され、攻撃者が管理するサーバーへと送信されます。そのトークンの一つであるリフレッシュトークンを悪用すれば、攻撃者はパスワードなしで被害者のOpenAIアカウントに長期間アクセスし続けることが可能です。
この攻撃を発見・公表したAikido Securityの研究者Charlie Eriksen氏は、その影響の深刻さを説明しています。明らかな被害(被害者のCodexセッションへの不正アクセス)に加え、攻撃者はトークンを悪用してAPIクレジットを使い果たしたり、Codexを通じて被害者が取り組んでいるプロジェクトやコードを閲覧したり、OpenAIサービス上で被害者になりすましたりすることが可能です。
「refresh_tokenには有効期限がありません」とEriksen氏は述べています。「それを入手した攻撃者は、無期限にあなたになりすまし続けることができます。盗まれたCodexのrefresh_tokenは、単なるチャットインターフェースへのアクセス手段にとどまりません。そのアカウントで可能なあらゆる操作への、持続的かつ密かなアクセス手段なのです。」
Aikidoはさらに、同一アカウントが公開した2つのAndroidアプリも発見しており、いずれもCodexユーザーを標的にしていると報告しています。一つは「OpenClaw Codex Claude AI Agent」という名称で、PRoot サンドボックス内でnpmパッケージを実行し、Codexの認証情報をすべて同じ攻撃者管理サーバーへ送信するものです。このアプリのダウンロード数は5万件を超えています。もう一つは「Codex」という名称で、ダウンロード数は1万件超に上っています。
