L’ecosistema degli strumenti basati su intelligenza artificiale sta diventando un bersaglio privilegiato per i criminali informatici. L’ultimo caso scoperto dai ricercatori di Aikido Security mostra un’evoluzione particolarmente sofisticata degli attacchi supply chain: invece di distribuire un pacchetto palesemente malevolo o utilizzare tecniche di typosquatting, l’attaccante ha costruito uno strumento realmente utile, con una community attiva e migliaia di utenti, trasformandolo successivamente in un veicolo per il furto di credenziali. Il pacchetto npm chiamato codexui-android, utilizzato per fornire un’interfaccia remota a OpenAI Codex, nasconde infatti una backdoor capace di sottrarre access_token, refresh_token e id_token dagli account degli sviluppatori. La minaccia non si limita all’ambiente desktop: lo stesso codice malevolo raggiunge anche dispositivi Android attraverso applicazioni pubblicate sul Google Play Store. Il caso dimostra come i token AI stiano rapidamente assumendo un valore paragonabile a quello delle credenziali aziendali tradizionali e come il mercato degli strumenti per sviluppatori stia diventando un nuovo terreno di caccia per gli attori malevoli.
Cosa leggere
Un progetto apparentemente legittimo diventa un vettore di compromissione
Ciò che rende particolarmente pericoloso il caso codexui-android è la sua apparente legittimità. Il progetto non si presenta come un clone sospetto o una copia maldestra di strumenti popolari. Al contrario, offre funzionalità reali e richieste dalla community, con un’interfaccia curata, aggiornamenti frequenti e uno sviluppo apparentemente professionale. Per settimane il pacchetto ha continuato a guadagnare utenti fino a raggiungere circa 27.000 download settimanali, costruendo una reputazione positiva tra sviluppatori e utilizzatori di OpenAI Codex. Proprio questa fiducia rappresenta il cuore dell’attacco. Gli utenti installano volontariamente il software perché risolve un problema concreto, abbassando naturalmente il livello di attenzione verso eventuali verifiche di sicurezza. Secondo l’analisi di Aikido, tutte le versioni pubblicate su npm per oltre un mese hanno contenuto codice aggiuntivo che non compariva nel repository pubblico su GitHub. Questo dettaglio è fondamentale perché rende inefficaci molte delle pratiche di revisione comunemente adottate dagli sviluppatori. Chi controllava il codice sorgente pubblicamente disponibile non trovava alcuna anomalia, mentre il codice realmente distribuito tramite npm conteneva la logica di esfiltrazione.
La backdoor si attiva immediatamente all’avvio del modulo
Il comportamento malevolo è stato individuato all’interno del file dist-cli/index.js, dove una semplice istruzione di importazione richiama un componente nascosto incaricato di eseguire il furto delle credenziali. L’attivazione avviene automaticamente al caricamento del modulo e non richiede alcuna interazione da parte dell’utente. Non sono presenti finestre di conferma, richieste di autorizzazione o azioni specifiche da compiere. Il semplice avvio dell’applicazione è sufficiente per eseguire la logica malevola. Il codice cerca il file auth.json all’interno della directory ~/.codex/ oppure nella posizione definita dalla variabile d’ambiente CODEX_HOME. Una volta individuato il file, il malware estrae tutte le informazioni disponibili, inclusi access_token, refresh_token, id_token e identificativi dell’account. I dati vengono quindi elaborati e preparati per l’invio verso l’infrastruttura controllata dall’attaccante. La scelta di attivare la backdoor immediatamente al caricamento del modulo garantisce all’operatore malevolo la massima probabilità di successo, riducendo il rischio che l’utente chiuda l’applicazione prima dell’esecuzione della fase di esfiltrazione.
Come avviene l’esfiltrazione dei token OpenAI Codex
Dal punto di vista tecnico, la funzione responsabile della raccolta delle credenziali carica integralmente il contenuto del file di autenticazione. I dati vengono successivamente elaborati attraverso una semplice ma efficace procedura di offuscamento. Il contenuto viene sottoposto a una codifica XOR utilizzando la chiave “anyclaw2026”, quindi convertito in formato Base64 e trasmesso tramite connessione HTTPS verso il dominio sentry.anyclaw.store. La scelta del nome non è casuale. Il termine Sentry richiama uno dei più diffusi sistemi di monitoraggio e raccolta errori utilizzati dagli sviluppatori software, rendendo il traffico generato apparentemente legittimo. L’endpoint utilizzato, identificato come /startlog, riceve il contenuto completo del file di autenticazione. Ancora più preoccupante è il fatto che eventuali errori durante la trasmissione vengano completamente ignorati e soppressi dal software, evitando qualsiasi messaggio che possa attirare l’attenzione dell’utente. Nei sorgenti ricostruiti grazie ai sourcemap pubblicati accidentalmente, compare persino un commento che chiarisce esplicitamente l’intenzione dell’autore: inviare sempre i token al server remoto indipendentemente da qualsiasi altro meccanismo di logging.
Il refresh token rappresenta il vero obiettivo dell’attaccante
Tra tutte le credenziali sottratte, il bersaglio più prezioso è il refresh_token. A differenza dell’access_token, che possiede una durata limitata nel tempo, il refresh token consente di ottenere nuove credenziali valide e può garantire accesso persistente agli account compromessi. In pratica, l’attaccante può continuare a impersonare la vittima anche dopo la scadenza delle credenziali temporanee. Questo trasforma il furto in una compromissione a lungo termine. Chi utilizza OpenAI Codex per attività professionali rischia l’esposizione di codice proprietario, progetti aziendali, workflow automatizzati e informazioni sensibili collegate all’account. In ambienti di sviluppo enterprise il danno potrebbe estendersi ben oltre il singolo utente, consentendo movimenti laterali verso repository, pipeline CI/CD o servizi integrati. Il fatto che il refresh token non sia soggetto a una scadenza rapida aumenta ulteriormente il valore dell’obiettivo e spiega perché i criminali stiano iniziando a considerare gli account AI come asset strategici.
Android diventa un secondo vettore di distribuzione
L’operazione non si limita al mondo npm. L’autore ha infatti distribuito sul Google Play Store un’applicazione chiamata OpenClaw Codex Claude AI Agent, identificata dal package gptos.intelligence.assistant. A prima vista il software appare innocuo e supera i controlli iniziali dello store ufficiale. Tuttavia, una volta installato, il programma estrae un ambiente Linux basato su Termux e avvia un sistema Node.js utilizzando PRoot. Durante la procedura di bootstrap, il codice esegue automaticamente il comando pnpm add codexui-android@latest, scaricando la versione più recente del pacchetto npm direttamente dall’infrastruttura pubblica. In questo modo la backdoor viene trasferita sul dispositivo Android senza essere fisicamente presente nell’APK distribuito tramite Play Store. Quando l’utente completa l’autenticazione a Codex, i token vengono salvati nel file auth.json locale e immediatamente esfiltrati seguendo lo stesso schema osservato sulle installazioni desktop. L’uso di componenti scaricati dinamicamente rende l’attacco particolarmente difficile da individuare durante le normali verifiche effettuate sugli store ufficiali.
Più applicazioni condividono la stessa infrastruttura
L’analisi ha rivelato che la stessa base tecnologica viene utilizzata anche da un’altra applicazione chiamata semplicemente Codex, distribuita come prodotto a pagamento e installata da oltre 10.000 utenti. Entrambe condividono namespace Kotlin appartenenti alla famiglia app.anyclaw.* e adottano identiche procedure di bootstrap. Questo suggerisce l’esistenza di un’infrastruttura comune sviluppata dall’autore per distribuire strumenti apparentemente dedicati alla produttività AI. Curiosamente, altre applicazioni pubblicate dallo stesso sviluppatore, tra cui un videogioco FPS con oltre 5 milioni di download, non mostrano tracce della medesima attività malevola. Questo dettaglio rafforza l’ipotesi di un’operazione mirata specificamente verso il mercato degli strumenti per intelligenza artificiale, considerato particolarmente redditizio grazie al valore crescente dei token di autenticazione e degli account premium.
L’identità dell’autore e la costruzione della fiducia
Uno degli aspetti più interessanti dell’operazione riguarda la costruzione della credibilità. L’autore utilizza un account GitHub attivo e apparentemente legittimo, associato anche all’identità online BrutalStrike. Nel tempo ha pubblicato software funzionante, accumulato utenti reali e costruito una reputazione positiva nella community. Questo approccio rappresenta una netta evoluzione rispetto alle tradizionali campagne basate su pacchetti falsi o repository creati pochi giorni prima dell’attacco. La fiducia viene costruita lentamente e successivamente sfruttata per distribuire codice malevolo. Quando Aikido ha contattato lo sviluppatore chiedendo chiarimenti, è arrivata inizialmente una risposta che attribuiva il problema a una presunta perdita di controllo dell’account npm. Successivamente il commento è stato rimosso e sostituito da dichiarazioni che evitavano di affrontare direttamente le accuse. Questo comportamento ha contribuito ad aumentare ulteriormente i sospetti sul coinvolgimento diretto dell’autore nella campagna.
Una nuova generazione di attacchi contro gli strumenti AI
L’aspetto più preoccupante del caso codexui-android è il modello operativo che introduce. L’attaccante non ha creato un malware isolato ma un prodotto realmente utile, sviluppato nel tempo e apprezzato dagli utenti. La funzionalità legittima diventa il veicolo attraverso cui distribuire il codice malevolo. Questo approccio potrebbe essere replicato facilmente in numerosi altri strumenti dedicati a LLM, AI agent, coding assistant e piattaforme di produttività basate sull’intelligenza artificiale. Gli sviluppatori, spinti dalla necessità di aumentare l’efficienza e automatizzare il lavoro, tendono infatti a installare rapidamente nuovi strumenti che promettono vantaggi operativi immediati. In questo contesto i token OpenAI, le credenziali di accesso ai servizi AI e gli account premium diventano obiettivi ad alto valore economico. Il rischio non riguarda più soltanto il furto di password ma la compromissione completa di ecosistemi di sviluppo alimentati dall’intelligenza artificiale.
Cosa devono fare gli sviluppatori colpiti
Chiunque abbia installato codexui-android nelle versioni interessate dovrebbe considerare compromessi tutti i propri token OpenAI Codex. La misura più urgente consiste nella revoca immediata di access_token e refresh_token, seguita dalla generazione di nuove credenziali. È inoltre opportuno verificare eventuali attività anomale sugli account associati, controllare accessi sospetti e monitorare l’utilizzo delle API. Gli utenti Android dovrebbero disinstallare immediatamente le applicazioni coinvolte e verificare la presenza di eventuali componenti residui. Il caso evidenzia inoltre la necessità di adottare strumenti di software supply chain security, analisi del traffico di rete e monitoraggio runtime capaci di individuare comportamenti anomali non visibili dal semplice controllo del repository sorgente. La differenza tra il codice pubblicato su GitHub e quello distribuito tramite npm dimostra infatti che la revisione manuale del sorgente non è più sufficiente per difendersi dalle minacce moderne.
La supply chain AI diventa il nuovo campo di battaglia
La rimozione del pacchetto da npm non cancella le conseguenze di un attacco che potrebbe aver esposto migliaia di account nel corso delle settimane precedenti. Il caso rappresenta un punto di svolta perché mostra come la supply chain degli strumenti AI stia rapidamente diventando uno dei bersagli più interessanti per i criminali informatici. La combinazione tra OpenAI Codex, npm, applicazioni Android e ambienti di sviluppo crea un ecosistema ricco di credenziali, dati sensibili e proprietà intellettuale. In questo scenario, la fiducia non può più basarsi esclusivamente sulla popolarità di un progetto o sul numero di download accumulati. Gli strumenti per l’intelligenza artificiale stanno assumendo un ruolo centrale nei processi produttivi di aziende e sviluppatori, e proprio per questo diventano obiettivi sempre più redditizi. L’operazione codexui-android dimostra che la prossima generazione di attacchi non si nasconderà necessariamente dietro software palesemente sospetti: spesso si presenterà come il miglior strumento disponibile per aumentare la produttività.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
