سرقة بيانات أوبن إيه آي كودكس عبر هجوم خبيث يستهدف المطورين

كشف خبراء الأمن الرقمي عن هجوم خبيث يستهدف مطوري أوبن إيه آي كودكس لسرقة بيانات الاعتماد عبر حزم npm ملوثة، مما يهدد بفتح وصول دائم وغير مصرح به للحسابات.

في تطور جديد ومقلق في عالم الأمن السيبراني، تم الكشف عن حملة خبيثة تستهدف المطورين الذين يستخدمون أوبن إيه آي كودكس (OpenAI Codex). يعتمد الهجوم على أداة تبدو شرعية تسمى codexui-android، وهي واجهة ويب عن بعد تم الترويج لها على منصات شهيرة مثل جيت هاب (GitHub) ومدير حزم Node.js المعروف باسم npm.

وفقاً لما رصده تيكبامين، فقد جذبت هذه الحزمة أكثر من 29,000 عملية تحميل أسبوعياً، مما يعكس حجم الانتشار الواسع لهذا التهديد. المثير للاهتمام أن هذا الهجوم لا يعتمد على أسلوب "Typosquatting" التقليدي (استغلال الأخطاء الإملائية في أسماء الحزم)، بل تم تضمين الكود الخبيث داخل حزمة وظيفية بالكامل خضعت لعمليات تطوير نشطة لكسب ثقة المستخدمين.

ما هي خطورة سرقة بيانات أوبن إيه آي عبر هذا الهجوم؟

تكمن الخطورة في أن الحزمة الخبيثة تقوم بهدوء باستخراج محتويات ملف الاعتماد الحساس الموجود في جهاز المطور، وإرساله إلى خادم يسيطر عليه المهاجمون. تشمل البيانات المسروقة ما يلي:

• توكن الوصول (access_token)
• توكن التحديث (refresh_token) الذي لا تنتهي صلاحيته
• توكن الهوية (id_token)
• معرف الحساب (Account ID)

ويؤكد باحثو الأمن أن الاستيلاء على "توكن التحديث" يعد كارثياً، حيث يسمح للمهاجم بانتحال شخصية المطور بشكل دائم وصامت. هذا الوصول يتجاوز مجرد استخدام واجهة الدردشة؛ فهو يمنح المهاجم قدرة مستمرة على تنفيذ أي عمليات مخول بها الحساب المخترق.

كيف يتم استهداف مطوري أوبن إيه آي كودكس؟

تستخدم الحزمة الخبيثة كوداً يستخرج البيانات من المسار المحلي ~/.codex/auth.json، ثم يقوم بتسريبها إلى خادم خارجي تحت مسمى مخادع ينتحل صفة منصة "سينتري" (Sentry) الشهيرة لمراقبة أخطاء التطبيقات، وذلك لتجنب إثارة الشكوك لدى المطورين أو أنظمة الأمان.

تعدد وسائل الهجوم على نظام أندرويد

لم يقتصر التهديد على حزم البرمجيات فحسب، بل رصد تيكبامين وجود تطبيق خبيث على نظام أندرويد يسمى OpenClaw Codex Claude AI Agent. يقوم هذا التطبيق بتشغيل حزمة npm الملوثة داخل بيئة معزولة (Sandbox) ويقوم بإرسال بيانات الاعتماد المسروقة إلى نفس نقطة النهاية التابعة للمهاجمين.

نصائح تيكبامين لحماية حسابات المطورين من الاختراق

للحد من مخاطر هجمات سلاسل التوريد والحفاظ على أمان بياناتك البرمجية، نوصي باتباع الخطوات التالية:

• الحذر من الحزم الخارجية: لا تقم بتحميل أي حزم أو أدوات غير رسمية للتعامل مع واجهات برمجة التطبيقات (APIs) الحساسة.
• تأمين ملفات الاعتماد: تعامل مع ملف ~/.codex/auth.json ككلمة مرور سرية؛ لا تقم أبداً برفعه إلى المستودعات أو مشاركته.
• مراجعة الأذونات: استخدم أدوات فحص الحزم بشكل دوري لاكتشاف أي سلوك مشبوه في التبعيات البرمجية لمشاريعك.
• تغيير المفاتيح فوراً: إذا ساورك الشك في تعرضك للاختراق، قم بإبطال جميع توكنز الوصول ومفاتيح API فوراً وتغيير كلمات المرور.

في الختام، يمثل هذا الهجوم تذكيراً صارخاً بأن الأدوات التي نستخدمها لتعزيز إنتاجيتنا في عصر الذكاء الاصطناعي يمكن أن تتحول إلى ثغرات أمنية إذا لم نلتزم بأقصى درجات الحذر والوعي الرقمي.