Вредоносный пакет npm, выдававший себя за удаленный пользовательский интерфейс для OpenAI Codex, похитил аутентификационные токены разработчиков после того, как злоумышленники, предположительно, опубликовали в npm код, который не отображался в общедоступном репозитории проекта на GitHub.
Исследователи из Aikido сообщили, что пакет под названием codexui-android, по всей видимости, предлагал легитимный функционал, собирая при этом аутентификационные токены и отправляя их на внешний сервер.
«Инструментарий для разработчиков ИИ становится высокоценной мишенью именно потому, что токены обладают большой мощностью и длительным сроком действия», — заявили в Aikido. «Украденный refresh_token Codex — это нечто большее, чем просто доступ к интерфейсу чата — это постоянный, скрытый доступ ко всему, что может делать эта учетная запись».
Aikido отметили, что инцидент отражает более широкую закономерность, при которой злоумышленники создают правдоподобные и полезные проекты в качестве прикрытия для вредоносной деятельности.
«Легитимность — это вектор атаки», — считают в Aikido. «По мере распространения инструментов ИИ и стремления разработчиков к получению кратчайших путей повышения производительности следует ожидать большего количества подобных случаев».
Этот случай выявляет то, что некоторые эксперты по безопасности называют растущим «слепым пятном» в безопасности цепочки поставок программного обеспечения, где меры контроля часто сосредоточены на исходном коде, а не на программных артефактах, в конечном итоге распространяемых среди пользователей.
Инцидент показал, как злоумышленники могут использовать выглядящие легитимными проекты для сокрытия вредоносной активности, отметил Сунил Варкей, консультант по кибербезопасности и бывший CISO. «В данном случае пакет npm выглядел совершенно легитимным: у него был активный репозиторий на GitHub, полезные функции для пользователей OpenAI Codex, и он привлекал около 27 000 загрузок в неделю», — сказал Варкей. «Однако вредоносный код, похищавший конфиденциальные токены, появился только в опубликованной версии, а не в общедоступном исходном коде».
Варкей добавил, что риск был расширен за счет сопутствующего Android-приложения, которое автоматически загружало и выполняло вредоносный пакет npm во время выполнения.
«У большинства компаний есть отличные инструменты безопасности для их исходного кода, но конвейеры сборки и распространения по-прежнему остаются полными «слепыми зонами», — заявила Девашри Датта, исследователь кибербезопасности. «Если злоумышленник оставляет свой общедоступный репозиторий на GitHub совершенно чистым, но внедряет вредоносное ПО непосредственно в пакет npm, стандартные аудиты кода ничего не обнаружат».
Датта посоветовала предприятиям проверять как происхождение программных пакетов, так и соответствие опубликованных артефактов их общедоступному исходному коду, предупреждая, что кажущийся безвредным исходный код может неточно отражать то, что разработчики в конечном итоге устанавливают.
Корпоративный риск
Для предприятий беспокойство вызывает не столько сам пакет, сколько уровень доступа, который теперь связан с инструментами для разработчиков ИИ.
Aikido сообщили, что пакет похитил токены доступа, токены обновления (refresh tokens), идентификационные токены (ID tokens) и идентификаторы учетных записей, причем токен обновления представляет особую опасность, поскольку он не имеет срока действия. По данным Сакши Гровер, старшего менеджера по исследованиям служб кибербезопасности IDC Asia Pacific, это означает, что одна успешная эксфильтрация приводит к постоянному, скрытому доступу ко всему, до чего может добраться учетная запись.
Гровер указала на прогнозы IDC, согласно которым к 2028 году половина предприятий, развертывающих агентный ИИ в Азиатско-Тихоокеанском регионе за исключением Японии, потребуют спецификацию материалов ИИ (AI bill of materials) для обеспечения непрерывного сканирования уязвимостей, управления лицензионными рисками и гарантии соответствия требованиям. Она отметила, что инцидент с codexui-android иллюстрирует, почему организациям необходима лучшая видимость компонентов, используемых инструментами ИИ, и учетных данных, к которым эти инструменты могут получить доступ.
«Большинство организаций по-прежнему не имеют полной инвентаризации того, к чему могут получить доступ их инструменты ИИ, какие учетные данные они наследуют и с какими внешними службами они взаимодействуют», — добавила Гровер. «Большинство предприятий еще не применили к инструментам ИИ те же принципы наименьших привилегий и дисциплины поведенческого мониторинга, которые они применяют к человеческим идентификаторам, и эту асимметрию сейчас активно используют злоумышленники».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Prasanth Aby Thomas
