2026-06-01
OpenAI Codex認証トークンがcodexui-android npmサプライチェーン攻撃で盗まれる
OpenAI Codexの認証トークンが、codexui-androidというnpmパッケージを通じて盗まれる事例が報告されました。このパッケージは、GitHubやnpmで合法的なリモートWeb UIとして宣伝され、29,000回以上のダウンロードを記録しています。攻撃者は、ユーザーのCodex認証トークンを攻撃者が制御するサーバーに静かに送信する悪意のあるコードを埋め込んでいます。この攻撃は、開発者の信頼を得るために、パッケージが公開された後に行われたと考えられています。特に、refresh_tokenが盗まれると、攻撃者は永続的にユーザーを偽装できるため、深刻なリスクを伴います。
メトリクス
このニュースのスケール度合い
5.0
/10
インパクト
6.0
/10
予想外またはユニーク度
7.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
8.0
/10
このニュースで行動が起きる/起こすべき度合い
7.0
/10
主なポイント
- ✓ codexui-androidというnpmパッケージが悪用され、OpenAI Codexの認証トークンが盗まれる事例が発生しました。
- ✓ 攻撃者は、ユーザーのCodex認証情報を攻撃者が制御するサーバーに送信するコードを埋め込んでいます。
社会的影響
- ! この攻撃は、開発者が信頼するツールを通じて行われているため、開発者コミュニティ全体に対する信頼を損なう可能性があります。
- ! 悪意のあるコードが埋め込まれたパッケージが広く使用されることで、他の開発者も同様の攻撃にさらされるリスクが高まります。
編集長の意見
今回の攻撃は、サプライチェーン攻撃の新たな形態を示しています。特に、攻撃者が信頼されるnpmパッケージに悪意のあるコードを埋め込むことで、開発者が気づかないうちに情報を盗むことが可能になります。このような攻撃は、開発者が使用するツールやライブラリの信頼性を脅かすものであり、開発者は常に使用するパッケージのソースや更新履歴を確認する必要があります。また、攻撃者が使用する手法が巧妙であるため、開発者は自らの認証情報を適切に管理し、不要な情報を公開しないように注意することが求められます。さらに、企業や組織は、開発者が使用するツールやライブラリのセキュリティを強化し、定期的な監査を行うことが重要です。今後、サプライチェーン攻撃はますます増加することが予想されるため、開発者や企業は、セキュリティ対策を強化し、脅威に対する意識を高める必要があります。
背景情報
- i npmパッケージのcodexui-androidは、OpenAI CodexのリモートWeb UIとして機能し、29,000回以上のダウンロードを記録しています。このパッケージは、開発者の信頼を得るために、公開後に悪意のあるコードが追加されたと考えられています。
- i 攻撃者は、Codexの認証情報を含むファイルを読み取り、攻撃者が制御するサーバーに送信するコードを埋め込んでいます。この手法は、開発者が信頼するパッケージを利用しているため、気づかれにくいという特徴があります。