npm-Malware: Fake Codex-Tool stahl 27.000 Nutzer pro Woche

Das Paket „codexui-android“ gab sich als funktionales Werkzeug für OpenAI Codex aus – und stahl im Hintergrund Anmeldedaten.

Der Vorfall um „codexui-android“ verdeutlicht, wie schnell KI-Tools zum Sicherheitsrisiko werden können, wenn rechtliche und technische Standards fehlen. In diesem kostenlosen E-Book erfahren Sie alles über die neuen Pflichten der EU-KI-Verordnung, um Ihre Systeme rechtssicher zu gestalten. Fristen und Pflichten der KI-Verordnung jetzt kostenlos entdecken

27.000 Downloads pro Woche

Die Schadsoftware war laut Sicherheitsanalysen von Aikido Security rund einen Monat aktiv. Pro Woche verzeichnete sie rund 27.000 Downloads. Die Attacke gilt als Supply-Chain-Angriff: Das bösartige Paket integrierte sich in die Software-Lieferkette und extrahierte gezielt OpenAI-Authentifizierungs-Token.

Besonders heikel: Die Malware stahl nicht nur Access- und ID-Token, sondern vor allem Refresh-Token. Diese laufen bei OpenAI nach aktuellem Stand nicht ab. Angreifer können sich damit dauerhaften Zugriff verschaffen – selbst wenn das Passwort geändert wird. Nur die gezielte Ungültigkeitserklärung der Sitzungs-Token hilft.

Tarnung durch echte Funktionen

Um nicht aufzufallen, war „codexui-android“ für Anwender voll funktionsfähig. Die Taktik sollte Nutzer in Sicherheit wiegen, während die Schadsoftware im Hintergrund agierte.

Hinter dem Paket steckt ein Akteur mit dem Pseudonym „BrutalStrike“. Laut Berichten von Cybernews hat er bereits mehrere Apps im Google Play Store veröffentlicht. Windows Defender erkennt die enthaltene Schadsoftware als „Trojan:JS/CodeRat.DA!MTB“. Trotz der Entdeckung Ende Mai waren das npm-Paket und die zugehörigen Anwendungen zu diesem Zeitpunkt noch erreichbar.

Codex im Höhenflug

Der Fund fällt in eine Phase massiven Wachstums für OpenAI Codex. Das Tool verzeichnet wöchentlich über vier Millionen Nutzer. Erst kürzlich kündigte OpenAI an, Codex über Partnerschaften mit Hardware-Anbietern wie Dell auch lokal und hybrid in Rechenzentren zu betreiben – für regulierte Branchen wie Finanz- und Gesundheitswesen.

Parallel plant das Unternehmen weitere Sicherheitsmaßnahmen. Tools wie „Codex Security“ und „Trusted Access for Cyber“ sollen unter anderem den Schutz von Wahlsystemen unterstützen.

Während Profi-Tools wie Codex wachsen, nutzen Cyberkriminelle die Unwissenheit vieler Anwender gezielt aus. Wie Sie KI-Dienste wie ChatGPT im Alltag sicher und effektiv nutzen, ohne in Sicherheitsfallen zu tappen, zeigt dieser praktische Ratgeber. Kostenlosen PDF-Report für den sicheren KI-Einstieg sichern

Was Entwickler jetzt tun sollten

Experten raten dringend, genutzte npm-Pakete auf die betroffene Kennung zu prüfen. Wer „codexui-android“ eingesetzt hat, sollte bestehende OpenAI-Sitzungstoken sofort zurücksetzen. Zudem empfiehlt sich die verstärkte Überwachung von KI-Integrationen in der Software-Lieferkette durch automatisierte Sicherheitsscans.

de | wissenschaft | 69439910 |