https://brdefense.center/tags/ataque-supply-chain/Recent content in Ataque Supply Chain on BR Defense CenterHugopt-brMon, 01 Jun 2026 17:08:35 -0300https://brdefense.center/news/ferramenta-codex-da-openai-com-29-mil-downloads-li/Mon, 01 Jun 2026 17:08:35 -0300https://brdefense.center/news/ferramenta-codex-da-openai-com-29-mil-downloads-li/<p>Pesquisadores descobriram um pacote npm malicioso que se disfarçava como uma ferramenta de interface do usuário do Codex, da OpenAI. O pacote, denominado &lsquo;codexui-android&rsquo;, foi baixado mais de 29.000 vezes antes de ser identificado como uma ameaça. Embora o código no GitHub parecesse legítimo, uma atualização no npm introduziu um código que roubava tokens de autenticação do Codex. Esses tokens, especialmente o refresh token, permitem que atacantes acessem contas da OpenAI sem a necessidade de senhas, possibilitando o uso indevido de créditos de API e acesso a projetos e códigos dos desenvolvedores. Além disso, dois aplicativos Android também foram identificados como parte do ataque, com um deles acumulando mais de 50.000 downloads. A gravidade da situação é acentuada pelo fato de que o refresh token não expira, permitindo acesso contínuo e silencioso às contas comprometidas.</p>