Los investigadores han revelado una nueva campaña maliciosa en la cadena de suministro dirigida a desarrolladores que utilizan OpenAI Codex a través de una herramienta de interfaz de usuario web remota de apariencia legítima conocida como codexui-android. El paquete, que se anuncia en GitHub y npm, ha obtenido más de 29.000 descargas semanales y permanece disponible públicamente para su descarga.
Esta campaña se destaca porque incorpora código malicioso dentro de un paquete npm completamente funcional que se ha desarrollado activamente, y el repositorio de GitHub asociado parece limpio. «Durante el último mes, cada invocación ha estado filtrando silenciosamente sus tokens de autenticación Codex a un servidor controlado por un atacante», dijo Charlie Eriksen, investigador de Aikido Security.
El código malicioso parece haber sido introducido aproximadamente un mes después de la publicación inicial del paquete, posiblemente para generar confianza en el usuario y ampliar su alcance. La cuenta npm vinculada al paquete es «friuns», que está vinculada a Igor Levochkin.
El código incrustado extrae el archivo «~/.codex/auth.json» del Codex y lo envía a un servidor remoto disfrazado de Sentry en «sentry.anyclaw[.]store». Los datos capturados incluyen token de acceso, token de actualización, token de identificación e ID de cuenta. «El token de actualización no caduca», señaló Eriksen, indicando capacidades continuas de acceso no autorizado. «Un atacante que lo posea puede hacerse pasar por ti silenciosamente por tiempo indefinido».
OpenAI advierte a los usuarios que traten el archivo auth.json como una contraseña. Los detalles de inicio de sesión se almacenan en caché localmente en texto plano o mediante un almacén de credenciales específico del sistema operativo, lo que genera más preocupaciones de seguridad.
Además del paquete npm, los investigadores de Aikido también identificaron una aplicación de Android llamada OpenClaw Codex Claude AI Agent que utiliza el paquete malicioso npm para filtrar credenciales. La aplicación OpenClaw, con un tamaño de APK pequeño de 26 MB, aparece limpia en los análisis previos a la publicación y ejecuta el paquete npm en un entorno limitado de PRoot.
La cadena de exfiltración ha estado activa desde la versión [email protected], que extrae automáticamente actualizaciones de npm. «La versión no está fijada, por lo que el dispositivo extrae todo lo que está publicado actualmente en npm», explicó Eriksen. El mismo método de exfiltración también se observó en otra aplicación de Android vinculada al desarrollador BrutalStrike, llamada Codex, que tiene más de 10.000 descargas. Las tres aplicaciones restantes del desarrollador no contienen esta funcionalidad maliciosa.
Aikido contactó al autor del paquete npm en GitHub. Inicialmente, afirmaron haber perdido el acceso a su cuenta npm, pero luego afirmaron que estaban investigando el problema y comenzaron a eliminar la funcionalidad afectada. Afirmaron que no se compartieron datos de credenciales con terceros, pero no explicaron por qué se incluyó el código malicioso ni la necesidad de tokens Codex.
Las investigaciones sobre los registros de dominio revelaron que «anyclaw[.]store», vinculado al autor, se registró poco después de que se cargara la primera versión del paquete npm, específicamente el 12 de abril de 2026. Este desarrollo resalta una tendencia más amplia de adversarios que explotan las herramientas de desarrollo de IA para robar credenciales e infiltrarse en la cadena de suministro de software.
Además, los investigadores de seguridad belgas descubrieron que las claves API de Google eliminadas pueden permanecer activas hasta por 23 minutos, lo que presenta una vulnerabilidad de seguridad. Google inicialmente descartó el problema como un problema no relacionado con la seguridad, pero luego lo clasificó como crítico. Se han observado retrasos similares en la revocación de credenciales con las claves de acceso de AWS, lo que subraya las vulnerabilidades explotables dentro de los entornos de nube.
