27,000次下载的Codex UI工具秘密窃取OpenAI刷新令牌

一个恶意的Codex UI npm包每周下载量达27,000次，被抓到窃取OpenAI刷新令牌，使开发者面临账户接管风险。

一款被数千名移动端开发者使用的热门软件工具被曝出窃取身份验证令牌。2026 年 5 月 27 日， Aikido安全公司披露了一项研究结果，曝光了一款名为 codexui-android 的恶意 npm 软件包。

据悉，该程序本是面向人工智能代码生成模型 OpenAI Codex 的热门远程网页交互界面，每周下载量约达 2.7 万次。

Aikido 安全公司研究员查理・埃里克森发现，这款软件包在上月发起供应链攻击，盗取用户数据。

有意思的是，攻击者并未采用域名仿冒、账号劫持这类常规手段，反而开发了一款确实具备实用价值的工具。他们此举很可能是先积累真实用户群体，再将工具转为恶意程序。

此外，恶意代码并未出现在公开的 GitHub 代码仓库中，仅存在于正式发布的 npm 软件包里，因此常规的源码审计根本无法发现它。

该恶意模块一经加载便会立即触发攻击。dist-cli/index.js 的首行代码就引入了隐藏脚本 chunk-PUR7OUAG.js。脚本会快速检索本地凭证，一旦找到，便会执行数据窃取程序，从 auth.json 文件中盗取访问令牌、身份令牌、刷新令牌以及账号编号。

更棘手的是，刷新令牌永久有效，攻击者可无限冒用受害者账号。

为隐匿网络传输行为，恶意代码将窃取的数据发送至服务端接口 sentry.anyclawstore。攻击者刻意选用该地址，伪装成正常的 Sentry 错误上报监测流量。而在隐藏的源码映射文件中，作者甚至直白地留下注释：“持续将令牌发送至我方日志接口”。

研究人员在博客文章中指出，该威胁主体还将安卓移动设备列为攻击目标。攻击者以开发者账号 BrutalStrike 在谷歌应用商店上架多款应用，该账号名下还有一款正规手游，累计下载量超 500 万次。

其中两款应用暗藏同款恶意程序架构：一款是付费效率工具 codex.app，另一款名为 “OpenClaw Codex Claude AI 智能助手”。

这款安卓应用能轻松通过谷歌的上架安全检测，因为初始 26 MB的安装包（APK）表面上毫无异常。

应用安装后，会在私有存储空间中解压一套基于 Termux 的 Linux 运行环境，并借助 PRoot 工具启动 Node.js，随后执行命令安装最新版 npm 包：pnpm add codexui-android@latest。codexui-android 从 0.1.82 版本起便开启了数据窃取功能。

埃里克森联系该软件作者后，对方先是短暂留言，声称自己的 npm 账号被盗，随即又删除该言论，转而发布一份官方声明，否认存在窃取用户凭证的行为。

截至目前，该恶意软件包及相关应用仍在网络上正常运行。

研究人员总结道：“AI 开发工具已然成为高价值攻击目标，究其原因，是这类令牌权限高、有效期长。这名攻击者耗费心思打造出一款看似正规、实用的项目作为掩护，项目本身的合法性反倒成了攻击入口。随着 AI 工具不断普及，开发者愈发倾向借助工具提升效率，此类攻击也将会愈发常见。”

技术报告：

《看起来很正规的CodexRemote UI偷偷窃取你的AI Tokens》

https://www.aikido.dev/blog/codex-remote-ui-steals-ai-tokens

新闻链接：

https://hackread.com/codex-ui-tool-secretly-stole-openai-refresh-tokens/