Beliebtes Codex-Tool soll heimlich OpenAI-Zugangsdaten gestohlen haben
Ein Fall aus der Entwicklerwelt zeigt gerade sehr deutlich, wie gefährlich die neue Infrastruktur rund um KI-Agenten werden kann. Sicherheitsforscher von Aikido Security berichten, dass ein scheinbar nützliches Tool für OpenAI Codex über ein npm-Paket Authentifizierungsdaten von Nutzern ausgelesen haben soll.
Betroffen ist laut Bericht das Paket codexui-android. Es präsentierte sich nicht als offensichtlicher Fake, sondern als funktionales Remote-Interface für Codex-Nutzer. Genau das macht den Fall so kritisch: Das Werkzeug war offenbar brauchbar genug, um Vertrauen aufzubauen, bevor zusätzlicher Schadcode in den veröffentlichten npm-Versionen auftauchte.
Der Schadcode steckte offenbar nicht im GitHub-Code
Besonders problematisch ist der Unterschied zwischen Quellcode und tatsächlich ausgelieferter Version. Laut Aikido war der verdächtige Code nicht im GitHub-Repository sichtbar, sondern nur in den veröffentlichten npm-Builds enthalten. Eine reine Prüfung des GitHub-Projekts hätte den Angriff damit nicht zuverlässig entdeckt.
Das Paket soll beim Start die Datei ~/.codex/auth.json ausgelesen und Daten an einen entfernten Server übertragen haben. Dabei ging es laut den Forschern nicht nur um kurzfristige Zugriffstokens, sondern auch um Refresh-Tokens. Diese sind deutlich gefährlicher, weil sie Angreifern unter Umständen ermöglichen, immer wieder neue Zugriffstokens zu erzeugen.
Warum dieser Fall gefährlicher ist als ein einfacher Fake
Viele Angriffe auf Entwickler setzen auf Tippfehler-Pakete, gefälschte Namen oder schnell erkennbare Kopien bekannter Projekte. Hier ist die Lage unangenehmer. Das Tool wirkte laut den Forschern wie ein echtes Projekt mit aktivem Nutzen. Es soll erst nach einer Phase mit normalen Versionen um schädliche Funktionen ergänzt worden sein.
Damit entsteht ein Muster, das für KI-Tools besonders riskant ist: Entwickler installieren Helfer, die tief in lokale Umgebungen, Projekte und Zugangsdaten eingreifen. Wenn ein solches Tool kompromittiert ist, geht es nicht mehr nur um ein einzelnes Passwort. Es kann um Tokens, lokale Projekte, Agenten-Zugänge und langfristige Sitzungen gehen.
Auch Android-Apps sollen betroffen gewesen sein
Laut Cybernews und Aikido soll der Entwickler zudem mehrere Android-Apps veröffentlicht haben. Mindestens eine App soll beim Start ebenfalls das verdächtige npm-Paket nachgeladen haben. Dadurch konnte der Schadcode offenbar außerhalb des eigentlichen App-Pakets ausgeführt werden. Das ist relevant, weil klassische App-Prüfungen vor der Veröffentlichung solche nachgeladenen Komponenten nicht immer zuverlässig erfassen.
Zum Zeitpunkt der Berichte sollen sowohl das npm-Paket als auch zugehörige Google-Play-Apps noch erreichbar gewesen sein. Nutzer, die solche Tools installiert haben, sollten daher nicht nur die App entfernen, sondern auch ihre OpenAI-Sitzungen und Tokens prüfen.
Was betroffene Nutzer jetzt tun sollten
Wer codexui-android, OpenClaw-Codex-Integrationen oder ähnliche inoffizielle Codex-Remote-Tools genutzt hat, sollte vorsichtig reagieren. Sinnvoll ist es, aktive Sitzungen zu widerrufen, gespeicherte Tokens zu erneuern und die Datei ~/.codex/auth.json nicht einfach weiterzuverwenden. Zusätzlich sollte geprüft werden, ob ungewöhnliche Zugriffe, neue npm-Pakete oder unbekannte Prozesse auf dem System vorhanden sind.
Der Fall ist auch ein Warnsignal für Unternehmen. KI-Entwicklertools werden oft schneller ausprobiert als klassische Entwicklungswerkzeuge. Gleichzeitig bekommen sie sehr weitreichende Rechte. Genau diese Kombination macht sie attraktiv für Angriffe auf die Software-Lieferkette.
KI-Agenten werden zum neuen Angriffsziel
Der eigentliche Punkt ist größer als dieses einzelne Paket. Je mehr Entwickler Codex, Claude Code, Cursor, OpenClaw oder ähnliche Werkzeuge in ihre Arbeitsabläufe einbauen, desto wertvoller werden die Umgebungen rund um diese Tools. Ein kompromittiertes Hilfsprojekt kann dann der Einstieg in Quellcode, API-Schlüssel, Cloud-Zugänge oder interne Systeme sein.
Für Entwickler heißt das: Ein Tool sollte nicht nur danach bewertet werden, ob es funktioniert. Entscheidend ist auch, wie es installiert wird, welche Pakete es nachlädt, welche Dateien es liest und ob die veröffentlichte Version wirklich dem geprüften Quellcode entspricht.
Der Angriff zeigt damit ein neues Risiko der KI-Entwicklung: Nicht der KI-Dienst selbst muss kompromittiert sein. Es reicht, wenn ein nützliches Werkzeug rund um den Dienst genug Vertrauen bekommt und dann heimlich Zugangsdaten abgreift.
📂
Kategorie
News
Aktuelle Meldungen aus der Tech-Welt – kompakt eingeordnet, ohne Clickbait-Überschriften.
