Serangan Supply Chain Baru Bidik Pengguna OpenAI Codex

Ancaman keamanan siber kembali menghantam ekosistem pengembangan perangkat lunak berbasis kecerdasan buatan (AI). Kali ini, para peneliti keamanan menemukan adanya kampanye serangan supply chain yang menyasar pengguna OpenAI Codex melalui sebuah paket npm populer bernama codexui-android.

Temuan ini menjadi perhatian serius karena serangan tidak dilakukan melalui aplikasi palsu atau paket tiruan yang biasanya digunakan untuk menjebak korban. Sebaliknya, pelaku menyisipkan kode berbahaya ke dalam paket yang memang berfungsi normal dan telah digunakan oleh ribuan pengembang di seluruh dunia.

Paket codexui-android dipromosikan melalui GitHub dan npm sebagai remote web UI untuk OpenAI Codex. Berkat fungsinya yang dianggap membantu para pengembang, paket tersebut berhasil memperoleh lebih dari 29.000 unduhan setiap pekan dan hingga kini masih tersedia di repositori npm.

Penelitian yang dilakukan oleh perusahaan keamanan siber Aikido Security mengungkap bahwa selama sekitar satu bulan terakhir, paket tersebut diam-diam mencuri token autentikasi pengguna dan mengirimkannya ke server yang dikendalikan oleh pihak tidak bertanggung jawab.

Peneliti Aikido Security, Charlie Eriksen, menjelaskan bahwa aktivitas berbahaya tersebut berlangsung tanpa disadari oleh korban. Menurutnya, setiap kali paket dijalankan, sistem secara otomatis menyalin data autentikasi pengguna lalu mengirimkannya ke server eksternal.

Menunggu Korban Percaya Sebelum Menyerang

Yang membuat kasus ini semakin menarik adalah strategi yang digunakan pelaku. Berdasarkan hasil investigasi, kode berbahaya tidak langsung disisipkan saat paket pertama kali dipublikasikan.

Sebaliknya, paket tersebut dibiarkan beroperasi secara normal selama beberapa waktu untuk membangun reputasi dan kepercayaan di kalangan pengembang. Setelah basis pengguna bertambah besar, barulah fungsi pencurian data ditambahkan ke dalam pembaruan paket.

Akun npm yang menerbitkan paket tersebut diketahui menggunakan nama "friuns" yang dikaitkan dengan seorang pengembang bernama Igor Levochkin.

Strategi semacam ini menunjukkan perubahan pola serangan supply chain modern. Jika sebelumnya pelaku sering menggunakan paket palsu atau nama yang mirip dengan proyek populer, kini mereka lebih memilih membangun kepercayaan terlebih dahulu sebelum mengaktifkan kode berbahaya.

Token OpenAI Codex Jadi Sasaran Utama

Menurut laporan Aikido Security, kode yang disisipkan ke dalam paket secara khusus mencari file autentikasi OpenAI Codex yang tersimpan di komputer pengguna.

File tersebut berada pada direktori:

~/.codex/auth.json 

Setelah ditemukan, seluruh isi file akan dikirimkan ke domain bernama sentry.anyclaw.store. Nama domain tersebut sengaja dibuat menyerupai layanan pemantauan aplikasi populer Sentry agar tidak menimbulkan kecurigaan.

Data yang dicuri meliputi access token, refresh token, ID token, serta identitas akun pengguna.

Dari seluruh informasi tersebut, refresh token menjadi aset paling berharga bagi pelaku. Berbeda dengan access token yang memiliki masa berlaku terbatas, refresh token dapat digunakan untuk memperoleh akses baru secara berkelanjutan.

Eriksen memperingatkan bahwa refresh token yang berhasil dicuri memungkinkan pelaku menyamar sebagai pemilik akun dalam waktu yang sangat lama tanpa diketahui. Dengan kata lain, penyerang tidak hanya memperoleh akses sementara ke layanan Codex, tetapi berpotensi mengendalikan akun korban secara terus-menerus.

OpenAI Ingatkan Bahaya Penyimpanan Token

OpenAI sendiri sebenarnya telah memberikan peringatan mengenai pentingnya menjaga keamanan file autentikasi Codex.

Setiap kali pengguna masuk ke aplikasi Codex, Command Line Interface (CLI), maupun ekstensi IDE menggunakan akun ChatGPT atau API Key, informasi autentikasi akan disimpan secara lokal dalam bentuk file teks biasa. Karena berisi token akses yang sensitif, OpenAI meminta pengguna memperlakukan file tersebut seperti kata sandi.

Perusahaan menyarankan agar pengguna tidak mengunggah file autentikasi ke repositori publik, tidak membagikannya melalui tiket dukungan, serta tidak menyalinnya ke forum diskusi maupun ruang obrolan daring.

Jika file tersebut bocor, pihak lain berpotensi memperoleh akses langsung ke akun pengguna tanpa harus mengetahui kata sandi asli.

Aplikasi Android Ikut Menyebarkan Malware

Investigasi Aikido Security juga menemukan bahwa ancaman ini tidak hanya berasal dari paket npm.

Peneliti menemukan sebuah aplikasi Android bernama OpenClaw Codex Claude AI Agent dengan nama paket gptos.intelligence.assistant yang memanfaatkan paket npm berbahaya tersebut di dalam lingkungan sandbox PRoot.

Aplikasi tersebut bekerja dengan menginstal lingkungan Linux berbasis Termux ke dalam perangkat Android, kemudian menjalankan Node.js di dalam sandbox. Setelah pengguna masuk ke akun Codex, aplikasi akan membaca file autentikasi yang tersimpan dan mengirimkannya ke server yang sama.

Yang mengkhawatirkan, aplikasi berukuran sekitar 26 MB tersebut terlihat bersih saat pemeriksaan awal dan tidak langsung menunjukkan perilaku mencurigakan.

Lebih berbahaya lagi, aplikasi tidak mengunci penggunaan versi paket npm tertentu. Artinya, perangkat pengguna akan selalu mengambil versi terbaru yang tersedia. Jika versi terbaru telah disusupi kode berbahaya, maka seluruh pengguna otomatis menjadi target tanpa perlu mengunduh aplikasi baru.

Puluhan Ribu Pengguna Berpotensi Terdampak

Aplikasi OpenClaw Codex Claude AI Agent diketahui diterbitkan oleh entitas bernama BrutalStrike dan telah diunduh lebih dari 50.000 kali.

Selain itu, Aikido juga menemukan rantai pencurian data yang sama pada aplikasi Android lain bernama Codex dengan nama paket codex.app, yang telah memperoleh lebih dari 10.000 unduhan.

Dengan jumlah instalasi yang mencapai puluhan ribu perangkat, para peneliti memperkirakan potensi korban bisa sangat besar, terutama di kalangan pengembang yang aktif memanfaatkan OpenAI Codex untuk membantu proses penulisan dan pengembangan kode.

Respons Pengembang Menuai Pertanyaan

Ketika dihubungi melalui GitHub, pengembang paket sempat memberikan pernyataan yang membingungkan.

Awalnya, ia mengklaim kehilangan akses ke akun npm yang digunakan untuk menerbitkan paket tersebut. Namun tidak lama kemudian, komentar itu diubah dan diganti dengan pernyataan baru yang menyebutkan bahwa pihaknya sedang melakukan investigasi internal serta mulai menghapus fungsi yang bermasalah.

Meski demikian, penjelasan tersebut tidak menjawab sejumlah pertanyaan penting. Pengembang tidak menjelaskan mengapa kode pencurian data hanya ditemukan pada paket npm sementara repositori GitHub tetap terlihat bersih. Mereka juga tidak memberikan alasan mengapa aplikasi membutuhkan akses ke token autentikasi pengguna.

Investigasi lebih lanjut menunjukkan bahwa profil media sosial yang terkait dengan pengembang mencantumkan domain anyclaw.store, yaitu domain yang sama yang digunakan untuk menerima data hasil pencurian.

Data WHOIS bahkan memperlihatkan bahwa domain tersebut didaftarkan hanya dua hari setelah versi pertama paket codexui-android dipublikasikan, sehingga menimbulkan dugaan kuat adanya keterkaitan langsung dengan operasi tersebut.

Ancaman Baru dalam Ekosistem AI

Kasus codexui-android menjadi bukti bahwa para pelaku kejahatan siber kini semakin fokus menargetkan alat pengembangan berbasis AI yang semakin banyak digunakan oleh programmer dan perusahaan teknologi.

Tidak hanya mencuri data pengguna, serangan semacam ini juga membuka peluang bagi pelaku untuk masuk lebih jauh ke dalam rantai pasokan perangkat lunak, mencuri kredensial tambahan, hingga mengakses lingkungan cloud perusahaan.

Temuan terbaru Aikido terkait keterlambatan pencabutan Google API Key dan kasus serupa pada Amazon Web Services (AWS) semakin memperlihatkan bahwa kredensial digital menjadi target utama para penyerang.

Bagi para pengembang, insiden ini menjadi pengingat penting bahwa penggunaan perangkat lunak pihak ketiga harus selalu disertai verifikasi keamanan yang ketat. Di era AI saat ini, ancaman tidak lagi datang dari aplikasi yang jelas-jelas berbahaya, melainkan dari alat yang tampak sah, populer, dan digunakan oleh ribuan orang setiap hari.