هجوم سيبراني يستهدف أداة «OpenAI Codex» وتمنح المهاجمين وصولًا دائمًا إلى حسابات المستخدمين

By نيفين عزيز On يونيو 1, 2026

كشفت شركة الأمن السيبراني Aikido Security عن هجوم جديد يستهدف مطوري البرمجيات عبر سلسلة توريد npm، مستغلًا شعبية أداة OpenAI Codex من خلال نشر حزمة خبيثة تنتحل صفة إحدى الأدوات المرتبطة بالمنصة بهدف سرقة بيانات الاعتماد ورموز المصادقة الخاصة بالمستخدمين.
npm اختصار لـ Node Package Manager، وهي منصة ومستودع رقمي ضخم يستخدمه مطورو البرمجيات لتنزيل ومشاركة الحزم البرمجية والمكتبات الجاهزة المستخدمة في تطوير التطبيقات، خاصة تلك المبنية بلغة JavaScript وبيئة Node.js.

ويُعد Codex مساعدًا برمجيًا ووكيلًا لهندسة البرمجيات طورته OpenAI، إذ يساعد المطورين على كتابة الأكواد البرمجية ومراجعتها، وإصلاح الأخطاء، وإجراء الاختبارات، وبناء التطبيقات باستخدام أوامر مكتوبة بلغة طبيعية.

وبحسب الباحثين، استهدفت الحملة أداة تحمل اسم “codexui-android”، وهي واجهة ويب للتحكم عن بُعد في منصة Codex، وقد حظيت بانتشار واسع تجاوز 29 ألف تنزيل أسبوعيًا. وتمكنت الأداة من كسب ثقة المستخدمين لأنها كانت تؤدي الوظائف المعلنة بشكل طبيعي، بينما ظل الكود المصدري المنشور على GitHub خاليًا من أي مؤشرات خبيثة، ما عزز من مصداقيتها لدى مجتمع المطورين.

إلا أن المهاجمين أضافوا، بعد نحو شهر من إطلاق الأداة، تحديثًا إلى النسخة المنشورة عبر npm تضمن شيفرة خبيثة مصممة لسرقة بيانات اعتماد OpenAI. وعند تشغيل الأداة، تقوم بالبحث عن رموز المصادقة الخاصة بخدمة Codex وإرسالها إلى خادم يتحكم به المهاجمون.

ويُعد رمز التحديث (Refresh Token) من أخطر البيانات التي تم استهدافها، إذ يسمح للمهاجم بالحفاظ على إمكانية الوصول إلى حساب الضحية لفترات طويلة دون الحاجة إلى كلمة المرور أو إعادة تسجيل الدخول.

وأوضح تشارلي إريكسن، الباحث في Aikido Security الذي كشف الهجوم، أن المخاطر تتجاوز مجرد الوصول إلى جلسات Codex الخاصة بالمستخدمين. فبإمكان المهاجمين استغلال الرموز المسروقة لاستخدام رصيد واجهات برمجة التطبيقات (API) التابع للضحايا، والاطلاع على المشاريع والأكواد البرمجية التي يعملون عليها، وحتى انتحال هويتهم أثناء التفاعل مع خدمات OpenAI المختلفة.

وأضاف إريكسن أن رمز التحديث لا تنتهي صلاحيته تلقائيًا، ما يمنح المهاجمين قدرة على الوصول المستمر والهادئ إلى الحسابات المستهدفة. وأشار إلى أن سرقة هذا النوع من الرموز تمنح صلاحيات واسعة تتجاوز الوصول إلى واجهة المحادثة، لتشمل جميع الخدمات والموارد المرتبطة بالحساب.

وفي تطور آخر، أعلنت Aikido Security رصد تطبيقين لنظام أندرويد مرتبطين بالحملة نفسها ومنشورين عبر الحساب ذاته. ويحمل التطبيق الأول اسم “OpenClaw Codex Claude AI Agent”، ويقوم بتشغيل حزمة npm الخبيثة داخل بيئة معزولة، قبل إرسال بيانات اعتماد Codex إلى الخادم نفسه المستخدم في الهجوم. وقد تجاوز عدد مرات تحميل التطبيق 50 ألف مرة.

أما التطبيق الثاني، الذي يحمل اسم “Codex”، فقد تم تحميله أكثر من 10 آلاف مرة، ما يرفع إجمالي عدد عمليات التنزيل المرتبطة بالحملة إلى عشرات الآلاف، في مؤشر على اتساع نطاق التهديد الذي يستهدف المطورين ومستخدمي أدوات الذكاء الاصطناعي البرمجية.

The short URL of the present article is: https://followict.news/db0x