Die Cybersicherheitsfirma Aikido Security hat einen beunruhigenden Fall aufgedeckt: Das npm-Paket “codexui-android”, verwaltet vom Nutzer “friuns” (Igor Levochkin), fungiert als Remote-Web-UI für OpenAI Codex und wurde über einen Monat hinweg aktiv zum Diebstahl von Authentifizierungsdaten missbraucht. Der Angriff unterscheidet sich fundamental von klassischen Supply-Chain-Attacken – statt eines Typosquatting-Pakets handelt es sich um ein echtes, gepflegtes Projekt mit aktivem GitHub-Repository.
Die Malware extrahiert Inhalte aus der Datei ~/.codex/auth.json und sendet sie an die attacker-kontrollierte Domain “sentry.anyclaw.store”, die sich als das legitime Monitoring-Tool Sentry ausgibt. Gestohlen werden access_token, refresh_token, id_token und die Account-ID. Besonders kritisch: Der refresh_token verfällt nicht und ermöglicht Angreifern unbegrenzten, unsichtbaren Zugriff auf das betroffene Konto. “Das geht weit über Zugriff auf eine Chat-Oberfläche hinaus”, erklärt Forscher Charlie Eriksen.
Das Arsenal des Angreifers reicht über npm hinaus. Eine Android-App namens “OpenClaw Codex Claude AI Agent” (über 50.000 Downloads) nutzt das Paket innerhalb einer PRoot-Sandbox und leitet die Credentials zum gleichen Exfiltrations-Endpoint weiter. Die App lud sich die jeweils aktuelle Version des npm-Pakets – ohne Versionsangabe. Zwei weitere Apps des Entwicklers “BrutalStrike” zeigen das gleiche Muster.
Zum Zeitpunkt der Veröffentlichung behauptete der Paketautor, die Kontrolle über sein npm-Konto verloren zu haben, widersprach sich dann aber und erklärte, intern zu ermitteln. Das WHOIS-Register offenbart einen aufschlussreichen Zusammenhang: Die Domain anyclaw.store wurde am 12. April 2026 registriert – gerade zwei Tage nach Upload der ersten Paketversion am 10. April.
Dieser Fall illustriert ein wachsendes Risiko: Cyberkriminelle zielen zunehmend auf KI-Developer-Tools und deren Authentifizierungsworkflows. Im selben Zeitraum entdeckte Aikido auch Sicherheitsmängel bei Google APIs – gelöschte Keys bleiben bis zu 23 Minuten gültig und ermöglichen Zugriff auf Google-Gemini-Daten und hochgeladene Dateien. Google stufte dies inzwischen als P0-Bug ein.
Die Lektionen sind klar: Entwickler sollten npm-Abhängigkeiten kritisch überprüfen, Authentifizierungsdateien wie Passwörter behandeln und regelmäßig auf verdächtige Aktivitäten in ihren Cloud-Projekten prüfen. Für deutsche Organisationen gilt: Solche Vorfälle erfordern möglichst schnelle Benachrichtigung nach DSGVO Artikel 33.