Une attaque ciblant la chaîne d'approvisionnement npm a été mise au jour, impliquant le paquet « codexui-android ». Ce dernier était conçu pour dérober des jetons d'authentification de l'outil d'intelligence artificielle OpenAI Codex. Les jetons volés auraient permis à des acteurs malveillants d'accéder à des services liés à l'IA générative. Le paquet avait déjà été téléchargé plus de 29 000 fois avant d'être repéré.
Les attaques sur la chaîne d'approvisionnement constituent une menace sérieuse pour les développeurs, car elles permettent d'injecter du code malveillant directement dans des bibliothèques largement utilisées. En l'occurrence, le paquet « codexui-android » se présentait comme un outil légitime destiné aux développeurs travaillant avec l'API d'OpenAI.
Il n'a pas été précisé quand l'attaque a débuté ni combien d'utilisateurs ont été affectés. Les autorités et les plateformes de dépôt de paquets sont généralement promptes à retirer les paquets malveillants une fois découverts. Les développeurs sont invités à vérifier l'intégrité des dépendances de leurs projets et à surveiller les activités suspectes liées à leurs jetons d'authentification.
