Der eingeschleuste Code liest den Inhalt der Datei „~/.codex/auth.json" aus und sendet ihn an einen entfernten Server („sentry.anyclaw[.]store"), der sich als Sentry ausgibt — eine legitime Plattform zur Anwendungsüberwachung und Fehlerverfolgung. Erfasst werden access_token, refresh_token, id_token sowie die Konto-ID.

Besonders kritisch ist laut Eriksen das refresh_token, das nicht abläuft. Ein Angreifer, der es besitzt, könne das Opfer dauerhaft und unbemerkt nachahmen. Ein gestohlenes Codex-refresh_token gehe über den Zugang zu einer Chat-Oberfläche hinaus: Es bedeute beständigen, stillen Zugriff auf alles, was das betreffende Konto ausführen könne.

Hintergrund: Bei jeder Anmeldung an der Codex-App, der CLI oder der IDE-Erweiterung — sei es über ChatGPT oder einen API-Schlüssel — werden die Anmeldedaten lokal zwischengespeichert, entweder als Klartextdatei unter ~/.codex/auth.json oder im betriebssystemspezifischen Anmeldespeicher. OpenAI warnt in seiner Dokumentation, man solle ~/.codex/auth.json wie ein Passwort behandeln, da die Datei Zugangstokens enthalte, und sie weder einchecken noch in Tickets einfügen oder im Chat teilen.

Das npm-Paket ist jedoch nicht der einzige Verbreitungsweg. Aikido beobachtete eine Android-Anwendung namens OpenClaw Codex Claude AI Agent (Paketname „gptos.intelligence.assistant"), die das npm-Paket in ihrer PRoot-Sandbox ausführt und die Codex-Zugangsdaten an dieselbe Adresse schickt. Die APK ist mit 26 MB klein und wirkt bei einer Play-Vorabprüfung sauber. Beim ersten Start entpackt sie eine von Termux abgeleitete Linux-Umgebung in den privaten Speicher der App und führt darin per PRoot Node.js aus.

Da die Version nicht festgelegt ist, lädt das Gerät jeweils den aktuell auf npm veröffentlichten Stand. Die Exfiltration ist laut Eriksen seit codexui-android@0.1.82 aktiv: Sobald sich der Nutzer in der App anmeldet, liest das Paket die auth.json aus der Sandbox und schickt den vollständigen OAuth-Datensatz an sentry.anyclaw.store/startlog. Die App stammt von einer Entität namens „BrutalStrike" und wurde über 50.000-mal heruntergeladen. Dieselbe Exfiltrationskette fand sich in einer zweiten, mit BrutalStrike verknüpften App: Codex (Paketname „codex.app"), mit über 10.000 Downloads. Drei weitere Apps des Entwicklers enthalten die Funktion nicht.

Auf Nachfrage über GitHub gab der Paketautor zunächst an, den Zugriff auf sein npm-Konto verloren zu haben, änderte die Antwort dann aber: Man untersuche den Vorfall intern und habe begonnen, die betroffene Funktion samt zugehöriger Daten zu entfernen. Es seien keine Zugangsdaten an Dritte weitergegeben worden — warum der Code nur in den npm-Build eingefügt wurde und warum überhaupt Zugriff auf die Codex-Tokens nötig war, blieb unbeantwortet. Das mit dem Autor verknüpfte X-Profil nennt die Domain „anyclaw[.]store". Laut WHOIS-Daten wurde diese Domain am 12. April 2026 registriert — zwei Tage, nachdem die allererste Paketversion (0.1.72) auf npmjs[.]com hochgeladen worden war.