警惕！伪装成OpenAI Codex的npm恶意包正在窃取开发者身份验证令牌

当深夜的办公室里程序员们还在盯着屏幕排查代码问题时很少有人会想到自己刚刚通过npm安装的那个看似无害的工具包正悄悄将账户密钥传向千里之外的服务器。这不是电影情节而是近期软件供应链安全领域曝光的一起真实攻击事件。一个合法的陷阱事情要从一个名为codexui-android的npm包说起。这个包表面看起来再正常不过——它打着OpenAI Codex远程用户界面的旗号每周吸引着大约两万七千次的下载量GitHub仓库里公开陈列的源代码也挑不出什么毛病。对于追求效率的AI开发者来说这样一个能简化工作流程的工具几乎找不到拒绝的理由。然而Aikido安全团队在一次例行扫描中发现了异常。这个包在正式发布到npm仓库的版本里藏着一段在公开GitHub代码库中完全看不到的恶意代码。换句话说攻击者玩了一手阴阳合同给所有人看的源代码干干净净真正发到开发者电脑里的安装包却暗藏玄机。这种手法的高明之处在于它精准击中了当前软件供应链安全体系中最薄弱的环节。大多数企业的安全团队习惯于审计GitHub上的公开代码对构建和分发流程的监控反而相对松散。正如网络安全顾问苏尼尔·瓦尔基所指出的这个npm包看起来完全合法活跃的代码仓库、实用的功能、可观的下载量这些元素组合在一起足以让大多数开发者放下戒心。被低估的令牌风险那么这段隐藏代码究竟在做什么答案是窃取开发者的身份验证令牌。具体来说codexui-android会收集访问令牌、刷新令牌、ID令牌以及账户ID然后将这些信息发送到外部服务器。在这几类数据中刷新令牌尤其危险——它永不过期意味着攻击者一旦得手就能在开发者毫无察觉的情况下长期、持续地访问该账户的全部功能。Aikido的研究人员对此给出了直白而尖锐的评价AI开发者工具之所以成为高价值攻击目标正是因为其令牌功能强大且有效期长。被盗的Codex刷新令牌不仅仅能打开聊天界面而是相当于给了攻击者一把万能钥匙能够持续、静默地访问该账户的所有功能。更值得关注的是与这个npm包配套的Android应用会在运行时自动拉取并执行恶意代码这意味着风险不仅限于桌面开发环境还延伸到了移动端。攻击者显然经过精心策划试图覆盖尽可能多的使用场景。供应链安全的盲区这起事件暴露了一个长期存在却鲜被重视的问题软件供应链安全中的最后一公里隐患。网络安全研究员德瓦什里·达塔坦言大多数公司都为源代码配备了相当完善的安全工具但构建和分发流程在很大程度上仍然是盲区。如果攻击者把GitHub仓库维护得规规矩矩却直接向npm包注入恶意代码传统的代码审计根本发现不了任何问题。公开源代码和实际分发制品之间的这道鸿沟正在成为攻击者的新乐园。这种攻击模式的可怕之处在于它把合法性本身变成了切入点。攻击者不需要暴力破解不需要社会工程学只需要做一个看起来有用、维护得不错的开源项目就能在开发者社区中自然传播。随着AI工具的普及和开发者对效率的迫切追求这类攻击只会愈演愈烈。企业如果继续只盯着代码仓库而忽视分发环节无异于在防盗门上装了十把锁却忘了关窗户。企业需要重新审视AI工具的权限对于企业安全团队而言这个案例带来的警示远不止于一个恶意npm包本身。更深层的问题在于当前AI开发工具所附带的访问权限级别往往超出了企业的实际管控能力。IDC亚太网络安全服务高级研究经理萨科希·格罗弗指出codexui-android事件恰恰说明了企业为什么必须建立对AI工具使用组件的完整清单以及对这些工具可访问凭证的清晰认知。她援引IDC的预测数据到2028年除日本以外的亚太地区部署智能体人工智能的企业中将有一半需要人工智能物料清单以支持持续漏洞扫描、许可证风险管理和合规性保证。格罗弗进一步强调大多数组织至今仍缺乏对其AI工具可访问内容、继承凭证以及与外部服务交互情况的完整盘点。更关键的是大多数企业尚未对AI工具应用与人类身份相同的最小权限原则和行为监控措施。这种不对称性正是攻击者当前正在积极利用的漏洞。换句话说企业给员工配发AI工具时往往没有意识到这些工具背后的令牌可能拥有远超员工本人权限的访问能力。一旦令牌泄露损失的不仅是某个账户而是整个企业数据体系的门户大开。写在最后codexui-android事件不是孤例而是一个信号。它提醒整个开发者社区和企业安全团队在开源生态和AI工具快速迭代的今天安全审查不能止步于代码层面。验证软件包的来源、比对已发布制品与公开源代码的一致性、为AI工具建立独立的权限边界和监控机制——这些措施听起来并不新鲜但真正落实的企业却寥寥无几。当攻击者已经开始把看起来合法当作武器时防御方就必须把验证一切当作底线。下一次当你准备npm install某个热门AI工具包时不妨多问自己一句我真的知道它会访问什么吗