Токены OpenAI Codex украдены через NPM-пакет: что это значит для разрабов?

Токены OpenAI Codex украдены через NPM-пакет: что это значит для разрабов?
Представьте: вы активно юзаете OpenAI Codex, а через удобный UI-инструмент на npm под названием codexui-android злоумышленники сливают ваши токены аутентификации. Фишка в том, что пакет выглядел легитимно, привлек ~29к загрузок в неделю и до сих пор доступен! Это классическая supply chain атака: хакеры встраивают вредоносный код в используемый вами инструмент. Что делать? Всегда проверяйте исходники сторонних пакетов, прежде чем интегрировать их в свои проекты, и используйте принцип наименьших привилегий для любых токенов. Не дайте себя хакнуть!

Оригинальный источник

Читать оригинал на The Hacker News
Telegram