كشف باحثو الأمن السيبراني عن حملة جديدة تستهدف مطوري OpenAI Codex عبر حزمة npm تحمل اسم codexui-android، والتي يتم الترويج لها على أنها واجهة ويب عن بُعد لـ Codex. الحزمة جذبت أكثر من 29 ألف تحميل أسبوعيًا، ولا تزال متاحة للتنزيل من المستودع.
ما يميز هذه الحملة أنها لا تعتمد على أسلوب typosquatting أو الحزم المزيفة قصيرة العمر، بل تم إدخال الشيفرة الخبيثة داخل حزمة وظيفية نشطة التطوير، بينما ظل المستودع المرتبط بها على GitHub نظيفًا.
وفقًا للباحث Charlie Eriksen من شركة Aikido Security، فإن كل عملية استدعاء للحزمة خلال الشهر الماضي كانت تقوم بتسريب رموز المصادقة الخاصة بـ Codex إلى خادم يسيطر عليه المهاجمون.
آلية تسريب الرموز والبيانات المستهدفة
التغييرات الخبيثة أُضيفت بعد شهر من نشر الحزمة، بهدف بناء الثقة وتوسيع قاعدة المستخدمين. الحساب المرتبط بالحزمة على npm يحمل اسم friuns (المعروف أيضًا بـ Igor Levochkin).
داخل الحزمة، يوجد كود يستخرج محتويات ملف ~/.codex/auth.json ويرسلها إلى خادم خارجي باسم sentry.anyclaw[.]store، وهو نطاق يتظاهر بأنه تابع لمنصة Sentry الشرعية. البيانات المسروقة تشمل: access_token، refresh_token، id_token، ومعرّف الحساب.
المشكلة الأخطر تكمن في أن refresh_token لا تنتهي صلاحيته، مما يمنح المهاجمين قدرة على انتحال هوية المستخدم بشكل صامت ودائم، مع وصول كامل إلى ما يمكن للحساب تنفيذه.
توسع الهجوم عبر تطبيقات أندرويد
لم يقتصر الهجوم على حزمة npm، إذ رصد الباحثون تطبيقًا أندرويد باسم OpenClaw Codex Claude AI Agent (باسم الحزمة: gptos.intelligence.assistant) والذي يقوم بتشغيل الحزمة داخل بيئة PRoot ويستخرج بيانات المصادقة من ملف auth.json ثم يرسلها إلى نفس الخادم.
التطبيق حجمه صغير (26 ميغابايت) ويبدو نظيفًا عند الفحص المبدئي في متجر بلاي، لكنه عند التشغيل يقوم باستخراج بيئة لينكس مشتقة من Termux وتشغيل Node.js داخلها. منذ الإصدار 0.1.82 من الحزمة، بدأت عملية التسريب بشكل نشط.
التطبيق من تطوير كيان يُدعى BrutalStrike، وقد تجاوزت تحميلاته 50 ألف مرة، كما تم رصد تطبيق آخر مرتبط به باسم Codex (codex.app) مع أكثر من 10 آلاف تحميل، بينما لم تُظهر التطبيقات الأخرى للمطور نفس الوظائف الخبيثة.
ردود المطورين والسياق الأوسع للهجمات
عند التواصل مع صاحب الحزمة على GitHub، ذكر في البداية أنه فقد الوصول إلى حسابه على npm، ثم عدّل رده لاحقًا ليقول إنه “يحقق داخليًا” وبدأ بإزالة الوظائف المتأثرة. لكنه لم يوضح سبب إدخال الكود الخبيث أو الحاجة للوصول إلى رموز Codex.
سجلات WHOIS أظهرت أن نطاق anyclaw[.]store تم تسجيله في 12 أبريل 2026، بعد يومين فقط من رفع أول نسخة من الحزمة إلى npm.
هذه التطورات تأتي في وقت يتزايد فيه استهداف أدوات المطورين الخاصة بالذكاء الاصطناعي وسلاسل التوريد بهدف سرقة بيانات الاعتماد والتغلغل أعمق في بيئات التطوير.
وفي سياق مشابه، كشفت شركة أمنية بلجيكية مؤخرًا عن ثغرة في مفاتيح Google API المحذوفة، حيث تبقى فعّالة لمدة تصل إلى 23 دقيقة بعد الحذف، ما يمنح المهاجمين نافذة لاستغلالها والوصول إلى بيانات المستخدم وواجهات Gemini. الأمر دفع جوجل لاحقًا إلى تصنيف المشكلة كـ P0 bug شديد الخطورة يستوجب المعالجة الفورية.
هذه الأمثلة، إلى جانب ثغرات مشابهة في مفاتيح AWS، تؤكد أن تأخير إبطال بيانات الاعتماد يمثل ثغرة خطيرة يمكن استغلالها في بيئات السحابة، بينما يظن المدافعون أن المفاتيح قد أُلغيت بالفعل.
