2026年5月27日，Aikido Security向Hackread.com暴露了对于坏心npm包codexui-android的究诘。这款广受挪动开发者迎接的软件器用被阐述会窃取身份考据令牌。该器用是OpenAI Codex（一个能编写代码的东谈主工智能模子）的汉典网页用户界面，每周下载量高达约2.7万次。

Aikido Security究诘员Charlie Eriksen发现，该软件包上月实施了供应链症结以窃取用户数据。

归隐于平素功能之中

值得瞩成见是，症结者并未使用域名仿冒或账户劫合手等常见妙技，而是开发了一个简直实用的器用。此举很可能是为了在火器化器用前诞生真实用户群。更避讳的是，坏心代码并未出当前公开的GitHub仓库中，仅存在于发布的npm包内，这意味着老例的源代码审计势必会遗漏该恫吓。

症结在模块加载时立即触发。dist-cli/index.js文献的首行会导入名为chunk-PUR7OUAG.js的荫藏剧本，该剧本会快速检测土产货笔据。若发现笔据，便会启动数据外泄规范，从auth.json文献中窃取access_token、id_token、账户ID及refresh_token。尤为严重的是，refresh_token不会过时，症结者可借此长期冒充受害者身份。

为荫藏网罗流量，代码将窃取的数据发送至名为sentry.anyclawstore的处事端节点，ag(中国)手机网此举旨在伪装成平素的Sentry造作进展遥测数据。在荫藏的源码映命中，作家以致留住了明确疑望："永恒将令牌发送至咱们的startlog端点"。

针对挪动开拓的定向症结

究诘团队在博客中指出，该恫吓行为者还将Android挪动开拓列为症结指标。症结者以BrutalStrike开发者身份在Google Play商店发布运用，该账号名下还领有一款下载量超500万的正当手机游戏。

两款特定运用——付费成果器用codex.app和"OpenClaw Codex Claude AI Agent"——均包含调换的坏心基础设施。

（图片起首：Aikido Security）

这些Android运用能轻松通过Google发布前的安全扫描，因为开动26MB的APK文献看起来十足无害。装配后，运用会将基于Termux的Linux用户空间解压至独有存储，并通过PRoot启动Node.js，随后履行号召装配最新版npm包：pnpm add codexui-android@latest。自codexui-android@0.1.82版块起，数据外泄行为便已存在。

当Eriksen相干开发者对证时，对方片时发布声明称其失去了npm账户探问权限，随后飞速删除该声明，转而发布公司声明否定存在笔据窃取行为。

扫尾发稿，该坏心软件包及有关运用仍在线上运行。究诘东谈主员回来谈："AI开发器用正成为高价值指标，正因为这些令牌权限高且灵验期长...恫吓行为者参加真实元气心灵构建实在、有用的时势行为掩护。这种正当性本人恰是症结载体。跟着AI器用激增和开发者追求成果捷径ag手机网页版，此类事件将愈发普通。"