Ragini SinhaOpenAI Codex Attack: साइबर सुरक्षा की दुनिया में एक बड़ा खुलासा हुआ है। शोधकर्ताओं ने एक ऐसे खतरनाक हमले का पर्दाफाश किया है जो OpenAI Codex इस्तेमाल करने वाले डेवलपर्स को चुपचाप निशाना बना रहा था। हैरान करने वाली बात यह है कि हमलावरों ने इस बार कोई नकली या संदिग्ध पैकेज नहीं बनाया, बल्कि एक असली और काम करने वाले टूल में जहर मिला दिया।
OpenAI Codex यूजर्स को निशाना बनाने वाले नए साइबर हमले का खुलासा हुआ है। जानिए कैसे एक लोकप्रिय पैकेज के जरिए डेवलपर्स के लॉगिन टोकन और संवेदनशील डेटा चोरी किया जा रहा था।
क्या है पूरा मामला?
NPM और GitHub पर ‘codexui-android’ नाम का एक पैकेज उपलब्ध था, जिसे OpenAI Codex के लिए एक रिमोट वेब इंटरफेस बताया गया था। यह पैकेज इतना भरोसेमंद दिखता था कि हर हफ्ते इसे 29,000 से ज्यादा बार डाउनलोड किया जा रहा था। लेकिन इसके अंदर एक खतरनाक कोड छिपा था जो यूजर्स के लॉगिन टोकन चुरा रहा था। साइबर सुरक्षा कंपनी Aikido Security के शोधकर्ता चार्ली एरिक्सन ने इस हमले का खुलासा किया। उनके मुताबिक यह कोड यूजर के सिस्टम में मौजूद auth.json फाइल को पढ़ता था, जिसमें Codex के लॉगिन टोकन और अकाउंट की सारी जानकारी सेव होती है।
चोरी किया गया डेटा कहां जाता था?
यह चुराया गया डेटा sentry.anyclaw.store नाम के एक संदिग्ध सर्वर पर भेजा जाता था। हमलावरों ने इस सर्वर को जाने-माने मॉनिटरिंग प्लेटफॉर्म Sentry जैसा नाम देकर संदेह से बचाने की कोशिश की थी। चोरी किए गए डेटा में Access Token, Refresh Token, ID Token और अकाउंट ID जैसी बेहद संवेदनशील जानकारियां शामिल थीं। विशेषज्ञों का कहना है कि Refresh Token सबसे ज्यादा खतरनाक होता है क्योंकि इसकी मदद से हमलावर लंबे समय तक किसी के अकाउंट में घुसे रह सकते हैं।
Android ऐप्स में भी मिली यही चाल
जांच में पता चला कि यह खतरा सिर्फ NPM पैकेज तक नहीं रुका। OpenClaw Codex Claude AI Agent नाम के एक Android ऐप में भी यही तरीका अपनाया गया था और उसे 50,000 से ज्यादा बार डाउनलोड किया जा चुका था। इसके अलावा Codex नाम का एक और ऐप भी इसी जाल में फंसा मिला, जिसे 10,000 से अधिक बार डाउनलोड किया गया था।
READ MORE: ChatGPT छोड़कर Claude की ओर क्यों बढ़ रहे हैं यूजर्स?
OpenAI ने पहले ही दी थी चेतावनी
दिलचस्प बात यह है कि OpenAI पहले ही अपने डेवलपर्स को सचेत कर चुका था कि Auth.Json फाइल को पासवर्ड की तरह सुरक्षित रखें, लेकिन इस तरह के छिपे हुए हमले से बचना आसान नहीं था क्योंकि GitHub पर मौजूद पैकेज का कोड बिल्कुल साफ था। असली मैलवेयर केवल published npm Package में था जो Runtime पर काम करता था।
Google API Key की नई चेतावनी
इसी रिपोर्ट में Aikido Security ने एक और बड़ी सुरक्षा खामी का भी खुलासा किया। उनके मुताबिक, Google API Key डिलीट करने के बाद भी वह 16 से 23 मिनट तक सक्रिय रह सकती है। इस दौरान कोई हमलावर उस Key का इस्तेमाल करके Google Gemini और अन्य सेवाओं तक आसानी से पहुंच बना सकता है।
READ MORE: ChatGPT छोड़कर Claude की ओर क्यों बढ़ रहे हैं यूजर्स?
डेवलपर्स क्या करें?
विशेषज्ञों की सलाह है कि जिन डेवलपर्स ने Codexui-Android पैकेज इंस्टॉल किया है, वे तुरंत उसे हटाएं। इसके साथ ही अपने सभी OpenAI Codex Authentication Tokens को तुरंत Rotate करें और मान लें कि डेटा पहले ही Compromise हो चुका है।
