Thought Leadership
Ein manipuliertes npm-Paket in einem beliebten Programmierwerkzeug stiehlt unbemerkt langlebige Authentifizierungstoken von OpenAI-Entwicklern.
Der Sicherheitsforscher Charlie Eriksen von Aikido Security deckte eine Kampagne auf, bei der Schadsoftware gezielt in einem populären Entwicklerwerkzeug für OpenAI Codex platziert wurde. Betroffen ist ein legitimer wirkendes npm-Paket mit dem Namen codexui-android, das als Fernbedienungsschnittstelle für Entwickler dient und wöchentlich rund 27.000 Downloads verzeichnete. Das Besondere und Gefährliche an dieser Kampagne ist die hohe funktionale Qualität des Programms. Es handelt sich nicht um einen typischen Tippfehler-Angriff (Typosquatting) oder ein minderwertiges Wegwerf-Paket, sondern um eine Anwendung, die von Programmierern tatsächlich aktiv nachgefragt und genutzt wurde.
Umgehung von Quellcode-Audits und Sicherheitsprüfungen
Die technische Umsetzung der Infektion zeigt ein hohes Maß an strategischer Planung durch den namentlich noch nicht zweifelsfrei identifizierten Autor. Nach den Analysen von Aikido Security blieb das Programm nach seiner Veröffentlichung auf der Plattform npm über einen Zeitraum von etwa einem Monat völlig unauffällig und frei von Schadcode. Erst nachdem eine ausreichend große Basis an aktiven Nutzern aufgebaut war, modifizierte der Entwickler die Anwendung. Der bösartige Code wurde so implementiert, dass er zur Laufzeit des Programms innerhalb einer versteckten Linux-Umgebung nachgeladen wird.
Da diese zusätzlichen Codezeilen nicht im öffentlichen Quellcode-Repository auf GitHub hinterlegt sind, schlagen herkömmliche statische Code-Audits und automatisierte Sicherheitsprüfungen keinen Alarm. Zudem ermöglichte diese Methode dem Schadprogramm, die automatischen Überprüfungen von Google Play vor der Veröffentlichung der Applikation erfolgreich zu umgehen, da der schadhafte Code nicht direkt im Installationspaket der Android-App (APK) integriert war.
Diebstahl von langlebigen Authentifizierungstoken von OpenAI Codex
Das primäre Ziel des manipulierten Pakets liegt im systematischen Ausspähen sensibler Zugangsdaten von Software-Entwicklern. Bei jedem Start der infizierten Anwendung extrahiert das System unbemerkt verschiedene Authentifizierungsdaten. Dazu gehören klassische Zugriffstoken, ID-Token sowie spezifische Konto-Identifikatoren. Die gesammelten Daten werden anschließend als vermeintliche Telemetriedaten des Analysedienstes Sentry getarnt und an einen externen Server übertragen. Besonders kritisch bewerten Sicherheitsforscher den gezielten Diebstahl von sogenannten Refresh-Token, die in der lokalen Konfigurationsdatei unter dem Pfad ~/.codex/auth.json gespeichert sind.
Im Gegensatz zu temporären Sitzungs-IDs besitzen diese Token kein automatisches Ablaufdatum. Wer im Besitz eines solchen Tokens ist, kann kontinuierlich neue Zugriffsschlüssel generieren und erhält somit dauerhaften Zugriff auf das betroffene Benutzerkonto, ohne jemals das eigentliche Passwort eingeben zu müssen. Der Sicherheitsforscher Charlie Eriksen kommentierte diese spezifische Bedrohung in seinem technischen Blogbeitrag mit einem prägnanten, wortwörtlich übersetzten Zitat, das wie folgt gekennzeichnet ist: „Das Erschreckende hierbei ist, dass es sich um Refresh-Token handelt – sie laufen nicht ab.“
Verbindung zu weiteren Applikationen auf Google Play
Im Zuge der forensischen Untersuchungen gelang es den Analysten, den Ersteller des manipulierten npm-Pakets mit einem GitHub-Konto unter dem Pseudonym BrutalStrike in Verbindung zu bringen. Dieser Akteur betreibt mehrere Anwendungen auf der offiziellen Vertriebsplattform Google Play, darunter ein mobiles Spiel mit über fünf Millionen Downloads. Eine weitere Anwendung dieses Entwicklers, die unter dem Namen OpenClaw Codex Claude AI Agent geführt wird, nutzt dieselbe schadhafte Infrastruktur und lädt das manipulierte npm-Paket bei jedem Start auf das Endgerät des Nutzers.
Vier weitere Anwendungen desselben Entwicklers erwiesen sich bei der Überprüfung als schadcodefrei. Nach der Konfrontation mit den Vorwürfen behauptete das mutmaßliche Profil unter dem Benutzernamen fruins2 zunächst, den Zugriff auf das eigene npm-Konto verloren zu haben, löschte diesen Kommentar jedoch später und bestritt jegliche Vorwürfe des Datendiebstahls. Interne Kommentare im Quellcode der Anwendung, die den gezielten Transfer der Token an einen unabhängigen Logging-Endpunkt beschreiben, lassen laut den Ermittlern jedoch keinen Spielraum für Fehlinterpretationen. Mittlerweile erkennt auch Windows Defender die Schadlast unter der Bezeichnung Trojan:JS/CodeRat.DA!MTB.
Konsequenzen für das IT-Sicherheitsmanagement und die IT-Governance
Der Vorfall unterstreicht die massiven Herausforderungen für das IT-Sicherheitsmanagement und die übergeordnete IT-Governance in modernen Unternehmen im Jahr 2026. Da Entwickler im Arbeitsalltag zunehmend nach Produktivitätswerkzeugen und künstlicher Intelligenz greifen, verschiebt sich der Angriffsvektor der organisierten Kriminalität direkt auf die genutzten Hilfsprogramme. Eine vorausschauende Governance darf sich nicht allein auf die Vertrauenswürdigkeit des menschlichen Programmierers verlassen.
Unternehmen müssen im Rahmen ihres IT-Risikomanagements strikte Kontrollen für alle externen Software-Abhängigkeiten und npm-Pakete etablieren. Die lokale Unternehmensinfrastruktur und die Entwickler-Arbeitsstationen müssen so gehärtet werden, dass verdeckte Netzwerkaktivitäten zu unbekannten Servern und das Auslesen lokaler Authentifizierungsdateien sofort kontrolliert werden. Nur durch eine lückenlose Verhaltensüberwachung zur Laufzeit lässt sich das Risiko von Software-Lieferketten-Angriffen wirksam minimieren.
