這是一起典型的供應鏈攻擊(Supply Chain Attack),也就是攻擊者並不直接攻擊你的伺服器,而是將惡意代碼植入到你信任的第三方套件或工具中,讓你自己在安裝時將「大門」打開。這次的目標是 OpenAI Codex 的開發者,攻擊者利用一個看似好用的遠端 Web UI 工具,悄悄偷走使用者的身分驗證權限。
攻擊路徑分析
這次攻擊的核心在於一個名為 codexui-android 的 npm 套件。npm 是 Node.js 的套件管理系統,開發者習慣透過它安裝各種功能模組。
這起攻擊最狡猾的地方在於它沒有使用常見的拼錯字欺騙法(Typosquatting),也沒有提供一個完全沒功能的空殼套件。相反地,這個套件確實提供了功能,且在 GitHub 上有活躍的開發紀錄,讓開發者在下載前會覺得這是一個可靠的專案。
攻擊者採取了先建立信任、後植入毒藥的策略。套件在發布初期是正常的,直到約一個月後,攻擊者才在更新版本中加入惡意代碼。當開發者安裝或更新到 0.1.82 版本後,該套件會在背景偷偷讀取本地端的一個特定檔案:~/.codex/auth.json。
這個檔案是 OpenAI Codex 用來儲存登入資訊的快取檔,裡面包含了 access_token(存取令牌)、refresh_token(刷新令牌)以及帳號 ID。
為什麼 Refresh Token 如此危險
對於 Junior 工程師來說,必須理解 Access Token 與 Refresh Token 的區別。Access Token 通常有很短的有效期(例如一小時),過期後就失效了。但 Refresh Token 的作用是讓應用程式在不需要使用者重新輸入密碼的情況下,向伺服器申請新的 Access Token。
在這次事件中,被偷走的 Refresh Token 幾乎沒有過期限制。這意味著攻擊者一旦拿到這個 Token,就可以在不觸發任何警告的情況下,永久地偽裝成該使用者。這不只是能對話而已,而是擁有該帳號能操作的所有權限,包括存取私有代碼或調用昂貴的 API 資源。
多樣化的攻擊向量
除了 npm 套件,攻擊者還開發了 Android 應用程式(如 OpenClaw Codex Claude AI Agent)來擴大漁獲。這些 App 內部使用了 PRoot 這種沙盒技術,在 Android 上運行一個輕量級的 Linux 環境,進而執行上述的惡意 Node.js 套件。
為了逃避偵測,攻擊者將盜取資料的傳送端點偽裝成 sentry.anyclaw.store。Sentry 是一個非常有名的錯誤監控平台,開發者看到日誌傳送到 Sentry 類型的網址時,往往會降低警覺,認為這只是正常的系統監控行為。
實務上的防禦建議
這次事件給開發者的三個重要提醒:
第一,絕對不要將身分驗證檔案(如 .env, auth.json, .aws/credentials)提交到 Git 倉庫,且應將這些檔案的權限設為僅限目前使用者讀取。
第二,謹慎使用未經審核的第三方 UI 工具或 IDE 插件。如果一個工具要求存取你的 API Key 或 Token,請務必檢查其來源,並儘量在隔離環境中測試。
第三,意識到權限撤銷的延遲。文中提到 Google API Key 在刪除後可能仍有 16 到 23 分鐘的有效窗口。這意味著一旦發現 Token 洩漏,除了刪除 Key,還應該立即檢查所有相關權限的變更紀錄,並採取最嚴格的存取控制。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。