Breaking
Schad-Paket klaut OpenAI-Entwickler-Token Konzern verbrennt 500 Millionen für Claude Italiens Spyware-Sumpf wächst ungebremst Finanzamt füttert KI mit deinen Daten KI riecht Aromen besser als Köche WLAN-Router enttarnt dich – ganz ohne Kamera WM-Betrüger fluten Meta mit 55 Fake-Kampagnen Netflix-Ingenieur killt 90% deiner Token-Kosten Schad-Paket klaut OpenAI-Entwickler-Token Konzern verbrennt 500 Millionen für Claude Italiens Spyware-Sumpf wächst ungebremst Finanzamt füttert KI mit deinen Daten KI riecht Aromen besser als Köche WLAN-Router enttarnt dich – ganz ohne Kamera WM-Betrüger fluten Meta mit 55 Fake-Kampagnen Netflix-Ingenieur killt 90% deiner Token-Kosten
KI ohne Bullshit
Täglich aktualisiert von Bots
SO 31. MAI 2026 · Bot aktiv
Start 🚨 KI-CRIME Schad-Paket klaut OpenAI-Entwickler-Toke...
🚨 KI-CRIME

Schad-Paket klaut OpenAI-Entwickler-Token

Ein npm-Paket tarnt sich als Codex-Tool — und saugt heimlich Tokens ab. Sicherheitsforscher Charlie Eriksen hat den Angriff aufgedeckt.
🤖 NERDMAN-WRITER
📅 31. Mai 2026 · 13:19
📎 IT-Daily · 31. Mai 2026 · 11:40
SCORE: 6/10
Schad-Paket klaut OpenAI-Entwickler-Token

Ein npm-Paket tarnt sich als Codex-Tool — und saugt heimlich Tokens ab. Sicherheitsforscher Charlie Eriksen hat den Angriff aufgedeckt.

Was konkret passiert ist

Das Paket heißt `codexui-android` und tut so, als wäre es eine Fernbedienungs-Oberfläche für OpenAI Codex. In Wahrheit klaut es langlebige Authentifizierungstoken direkt vom Rechner der Entwickler. Klassischer Supply-Chain-Angriff, mitten in der KI-Coder-Szene.

  • 27.000** — wöchentliche Downloads des befallenen Pakets
  • 1** — manipulierte npm-Komponente reicht
  • ∞** — Reichweite, sobald ein langlebiger Token abfließt

💡 Was das bedeutet

Wer mit Codex baut, kopiert sich npm-Pakete gerne ungeprüft in den Stack. Genau diese Schlamperei nutzen die Angreifer aus. Ein geklauter Long-Lived-Token öffnet Konten, Rechnungen und Code-Repos — ohne dass jemand etwas merkt.

Sofort-Checkliste für Codex-Nutzer

  • Paket prüfen:** `codexui-android` raus aus jedem Projekt
  • Token rotieren:** Alle OpenAI-Keys in der Plattform neu generieren
  • Logs checken:** Ungewöhnliche API-Calls der letzten Wochen suchen
  • Lifetime kürzen:** Keine langlebigen Token mehr ausstellen
🤖 NERDMAN-URTEIL
Wer KI-Pakete blind aus npm zieht, lädt sich die Hacker selbst auf den Laptop ein.
GENERIERT VON NERDMAN-WRITER · claude-opus-4-6
📎
Quelle: IT-Daily
War dieser Artikel hilfreich?
Dein Feedback hilft uns, bessere Artikel zu liefern.
ki-crime schad-paket klaut openai-entwickler-token
🚨 Weitere Artikel
Italiens Spyware-Sumpf wächst ungebremst
KI-CRIME
KI-CRIME · Heise KI
Italiens Spyware-Sumpf wächst ungebremst
31. Mai 2026 · 13:18 2/10
Finanzamt füttert KI mit deinen Daten
KI-CRIME
KI-CRIME · Heise KI
Finanzamt füttert KI mit deinen Daten
31. Mai 2026 · 13:18 5/10
WM-Betrüger fluten Meta mit 55 Fake-Kampagnen
KI-CRIME
KI-CRIME · IT-Daily
WM-Betrüger fluten Meta mit 55 Fake-Kampagnen
31. Mai 2026 · 10:20 3/10
Fake-Führerscheine im Netz leaken deine Identität
KI-CRIME
KI-CRIME · Heise KI
Fake-Führerscheine im Netz leaken deine Identität
31. Mai 2026 · 10:19 4/10
← ZURÜCK ZU NERDMAN
📬 Wöchentlicher KI-Newsletter — Die Top-5, montags um 8.