2026年5月27日，Aikido Security向Hackread.com披露了关于恶意npm包codexui-android的研究。这款广受移动开发者欢迎的软件工具被证实会窃取身份验证令牌。该工具是OpenAI Codex（一个能编写代码的人工智能模型）的远程网页用户界面，每周下载量高达约2.7万次。

Aikido Security研究员Charlie Eriksen发现，该软件包上月实施了供应链攻击以窃取用户数据。

值得注意的是，攻击者并未使用域名仿冒或账户劫持等常见手段，而是开发了一个真正实用的工具。此举很可能是为了在武器化工具前建立真实用户群。更隐蔽的是，恶意代码并未出现在公开的GitHub仓库中，仅存在于发布的npm包内，这意味着常规的源代码审计必然会遗漏该威胁。

攻击在模块加载时立即触发。dist-cli/index.js文件的首行会导入名为chunk-PUR7OUAG.js的隐藏脚本，该脚本会快速检测本地凭证。若发现凭证，便会启动数据外泄程序，从auth.json文件中窃取access_token、id_token、账户ID及refresh_token。尤为严重的是，refresh_token不会过期，攻击者可借此永久冒充受害者身份。

为隐藏网络流量，代码将窃取的数据发送至名为sentry.anyclawstore的服务端节点，此举旨在伪装成正常的Sentry错误报告遥测数据。在隐藏的源码映射中，作者甚至留下了明确注释："始终将令牌发送至我们的startlog端点"。

研究团队在博客中指出，该威胁行为者还将Android移动设备列为攻击目标。攻击者以BrutalStrike开发者身份在Google Play商店发布应用，该账号名下还拥有一款下载量超500万的合法手机游戏。

两款特定应用——付费效率工具codex.app和"OpenClaw Codex Claude AI Agent"——均包含相同的恶意基础设施。

这些Android应用能轻易通过Google发布前的安全扫描，因为初始26MB的APK文件看起来完全无害。安装后，应用会将基于Termux的Linux用户空间解压至私有存储，并通过PRoot启动Node.js，随后执行命令安装最新版npm包：pnpm add codexui-android@latest。自codexui-android@0.1.82版本起，数据外泄行为便已存在。

当Eriksen联系开发者对质时，对方短暂发布声明称其失去了npm账户访问权限，随后迅速删除该声明，转而发布公司声明否认存在凭证窃取行为。

截至发稿，该恶意软件包及相关应用仍在线上运行。研究人员总结道："AI开发工具正成为高价值目标，正因为这些令牌权限高且有效期长...威胁行为者投入真实精力构建可信、有用的项目作为掩护。这种合法性本身正是攻击载体。随着AI工具激增和开发者追求效率捷径，此类事件将愈发频繁。"