Auf den Punkt: Angreifer nutzten ein scheinbar legitimes npm-Paket mit 27.000 wöchentlichen Downloads, um Refresh-Token zu stehlen, die unbegrenzten Zugriff auf Konten ermöglichen.
Ein unter dem Namen codexui-android verbreitetes npm-Paket hat Entwickler-Authentifizierungstoken exfiltriert, obwohl der bösartige Code in der öffentlichen GitHub-Repository nicht vorhanden war. Der Vorfall offenbart eine Sicherheitslücke in der Software-Lieferkette, die auch für KI-Entwickler-Tools gilt.
Das Sicherheitsunternehmen Aikido identifizierte das Paket codexui-android, das sich als Remote-UI für OpenAI Codex ausgab und Authentifizierungstoken einsammelte. Das Paket war über npm verfügbar und verfügte über ein aktives GitHub-Repository mit scheinbar nützlichen Funktionen. Angreifer hatten jedoch bösartigen Code nur in die npm-Distribution eingefügt, nicht in die öffentliche Sourcecode-Repository. Ein begleitendes Android-App automatisiert das Laden und Ausführen des fehlerhaften Pakets zur Laufzeit.
Besonders kritisch ist die Art des Datendiebstahls: Das Paket extrahierte Access-Token, Refresh-Token, ID-Token und Account-IDs. Refresh-Token sind dabei ein Hochrisiko-Faktor, weil sie nicht ablaufen. Ein gestohlenes Refresh-Token gibt Angreifern damit persistenten, stummen Zugriff auf alle Ressourcen des kompromittierten Kontos. Aikido warnt, dass „Codex-Token über einen reinen Chat-Interface-Zugang hinausgehen und unbegrenzten Zugriff auf alles ermöglichen, das das Konto erreichen kann“.
Der Vorfall verdeutlicht eine Schutzlücke in der Software-Supply-Chain-Sicherheit. Unternehmen konzentrieren ihre Kontrollen typischerweise auf den Sourcecode, nicht auf die Artefakte, die am Ende Entwickler erhalten. Ein ehemaliger CISO erklärt: „Die Legitimität ist der Angriffsvektor.“ Entwickler greifen zu Produktivitäts-Tools wie OpenAI Codex und rechnen nicht mit Manipulationen. Während Standard-Code-Audits saubere GitHub-Repositories überprüfen, können Angreifer Malware direkt in die npm-Distribution einschleusen.
Für Unternehmen liegt das größere Risiko darin, dass KI-Entwickler-Tools nun hohe Privilege-Stufen aufweisen. IDC prognostiziert, dass bis 2028 in der Asia-Pacific-Region die Hälfte der Unternehmen mit agentic AI ein „AI Bill of Materials“ benötigt, um Schwachstellen kontinuierlich zu scannen, Lizenzrisiken zu verwalten und Compliance sicherzustellen. Viele Organisationen verfügen aktuell nicht über ein vollständiges Inventar, welche Ressourcen ihre KI-Tools zugreifen können, welche Zugangsdaten sie erben, und welche externen Services mit ihnen interagieren. Die meisten Unternehmen wenden auf KI-Tools noch nicht dieselben Least-Privilege- und Behavioral-Monitoring-Standards an wie auf menschliche Identitäten.
Quelle: www.csoonline.com · Erschienen 2. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.