codexui-android: npm-Paket stiehlt OpenAI-Codex-Tokens

Es sieht aus wie ein praktisches Open-Source-Tool — und ist eine Falle: Das npm-Paket codexui-android, beworben als Remote-Web-UI für OpenAI Codex, stiehlt laut der Sicherheitsfirma Aikido Security seit rund einem Monat die Authentifizierungs-Tokens seiner Nutzer. Pikant: Das Paket bringt es auf über 29.000 Downloads pro Woche — und war zum Zeitpunkt der Analyse weiter verfügbar.

PERFIDE: Erst Vertrauen aufbauen, dann zuschlagen

Das ist kein plumpes Tippfehler-Paket. codexui-android ist ein funktionierendes, aktiv entwickeltes Tool — der zugehörige GitHub-Code ist sauber. Der Schadcode steckt nur im npm-Build und kam erst etwa einen Monat nach Veröffentlichung dazu, als sich das Paket bereits Vertrauen erarbeitet hatte. Seit Version 0.1.82 liest es bei jedem Aufruf die Datei ~/.codex/auth.json aus — dort cached Codex Access-Token, Refresh-Token, ID-Token und Account-ID im Klartext — und schickt alles an sentry.anyclaw.store, einen Server, der sich als legitimes Sentry-Monitoring tarnt.

GEFAHR: Der Refresh-Token läuft NIE ab

Warum das so brisant ist, bringt Aikido-Forscher Charlie Eriksen auf den Punkt: Der Refresh-Token verfällt nicht. Wer ihn besitzt, kann dauerhaft und unbemerkt im Namen des Opfers agieren — mit allem, was der Account darf. Das ist kein gekaperter Chat, das ist ein Generalschlüssel zum Codex-Konto samt API-Zugriff.

DOPPELTER VERTRIEB: Auch Android-Apps verseucht

Die npm-Schiene ist nur ein Kanal. Aikido fand zusätzlich die Android-App „OpenClaw Codex Claude AI Agent“ (über 50.000 Downloads) und eine zweite App namens „Codex“ (über 10.000 Downloads) des Anbieters BrutalStrike. Die Apps starten das npm-Paket in einer PRoot-Sandbox — und weil die Version nicht gepinnt ist, ziehen sie automatisch die jeweils aktuelle, verseuchte Fassung. Meldet sich der Nutzer in der App bei Codex an, wandern die Zugangsdaten an denselben Angreifer-Server.

SO PRÜFST DU DICH JETZT

Erstens: npm ls codexui-android ausführen beziehungsweise die genannten Android-Apps deinstallieren. Zweitens: In den OpenAI-Account-Einstellungen alle Sitzungen abmelden und API-Keys rotieren — der alte Refresh-Token muss serverseitig entwertet werden. Drittens: API-Abrechnungen auf ungewöhnliche Nutzung prüfen. Und grundsätzlich gilt: ~/.codex/auth.json ist ein Passwort-Äquivalent — OpenAI selbst warnt davor, die Datei zu teilen oder zu committen.

FAZIT: KI-Tooling ist das neue Lieblingsziel

Nach Würmern in npm-Registries und vergifteten VS-Code-Erweiterungen zeigt dieser Fall: Angreifer zielen gezielt auf KI-Entwickler-Workflows — da liegen wertvolle, langlebige Tokens. Prüfe Drittanbieter-UIs für Codex, Claude und Co. doppelt, bevor du ihnen deine Zugänge anvertraust.

Häufige Fragen

Bin ich betroffen, wenn ich codexui-android genutzt habe?

Wenn du das Paket seit Version 0.1.82 installiert oder eine der genannten BrutalStrike-Android-Apps mit Codex-Login genutzt hast, musst du davon ausgehen, dass deine Codex-Tokens beim Angreifer liegen. Entferne das Paket bzw. die App, melde in den OpenAI-Einstellungen alle Sitzungen ab und rotiere API-Keys.

Was genau wurde gestohlen?

Der Inhalt der Datei ~/.codex/auth.json: Access-Token, Refresh-Token, ID-Token und Account-ID. Besonders kritisch ist der Refresh-Token, denn er läuft nicht ab und erlaubt es einem Angreifer, sich dauerhaft als der betroffene Account auszugeben — inklusive allem, was dieser Account über API und Apps darf.

Wie konnte das Paket so lange unentdeckt bleiben?

Der Angriff war ungewöhnlich geduldig aufgebaut: Das Tool funktionierte echt, der GitHub-Quellcode blieb sauber, und der Schadcode steckte nur im veröffentlichten npm-Build — eingefügt erst nach einer Vertrauensphase von etwa einem Monat. Klassische Quellcode-Reviews auf GitHub liefen dadurch ins Leere.

Wie schütze ich meine KI-Tokens generell?

Behandle Token-Dateien wie ~/.codex/auth.json wie Passwörter: nie committen, nie teilen. Nutze nach Möglichkeit offizielle Clients statt Drittanbieter-UIs, pinne npm-Abhängigkeiten auf geprüfte Versionen und rotiere API-Keys regelmäßig. Bei CLI-Tools lohnt ein Blick, ob das npm-Artefakt wirklich dem GitHub-Code entspricht.

Quellen: The Hacker News, Aikido Security

TOKEN-KLAU! Ein beliebtes Codex-Tool stiehlt seit Wochen OpenAI-Zugänge — 29.000 Downloads pro Woche