Sikkerhedsforskere har demonstreret en ny angrebsmetode, som kan narre AI-kodningsagenter til at køre skjult malware, selv når et GitHub-repositorium ser helt legitimt ud.
Forskere fra Mozillas Zero Day Investigative Network (0DIN) oplyser, at metoden udnytter den måde, AI-drevne kodningsassistenter automatisk fejlsøger problemer under installation af software. I stedet for at placere malware i selve repositoriet manipulerer angribere tilsyneladende troværdige installationstrin for at få AI-agenten til at afvikle en skadelig nyttelast.
Forskerne testede teknikken mod Claude Code og viste, hvordan en angriber kunne få en interaktiv shell på en udviklers computer uden at placere skadelig kode i det klonede GitHub-repositorium.
AI-agenter kan udløse hele angrebskæden
Ifølge 0DIN kræver angrebet tre tilsyneladende harmløse komponenter, som kun bliver farlige, når de kombineres.
Den første komponent er et GitHub-repositorium, der ser legitimt ud og indeholder almindelige installationsinstruktioner, såsom installation af afhængigheder og initialisering af et projekt.
Derefter nægter den medfølgende Python-pakke bevidst at køre, indtil brugeren udfører en initialiseringskommando. Når Claude Code møder fejlen, opfatter værktøjet den som et almindeligt installationsproblem og kører automatisk den anbefalede kommando for at forsøge at løse situationen.
Kommandoen starter derefter et shell-script, som henter en konfigurationsværdi fra en DNS TXT-post, der kontrolleres af angriberen, og udfører den som en systemkommando.
Fordi den skadelige nyttelast aldrig ligger direkte i GitHub-repositoriet, kan traditionelle kodegennemgange og mange sikkerhedsværktøjer overse angrebet.
Der kræves ingen exploit-kode
Forskerne understreger, at metoden ikke bygger på softwaresårbarheder eller exploit-kode.
I stedet misbruger den normale udviklingsprocesser og AI-kodningsagenters villighed til automatisk at løse installationsproblemer.
“Claude Code never decided to open a shell. It decided to fix an error,” forklarer forskerne.
“The reverse shell is three indirection steps away from anything Claude Code actually evaluated: an error message it trusted, a script that fetched a value, and a DNS record it never saw.”
Ved at følge det, der ligner en legitim fejlfindingsproces, gennemfører AI-agenten ubevidst alle angrebets trin.
Et vellykket angreb kan kompromittere udvikleres systemer
Hvis angrebet lykkes, får angriberen en interaktiv shell, der kører med udviklerens brugerrettigheder.
Denne adgang kan afsløre miljøvariabler, API-nøgler, lokale konfigurationsfiler, godkendelsestokens og andre følsomme udviklingsressourcer. Angriberen kan også etablere vedvarende adgang eller bevæge sig videre ind i offerets miljø.
Da kompromitteringen sker under en almindelig projektinstallation, opdager udvikleren muligvis aldrig, at AI-assistenten satte angrebet i gang.
Falske GitHub-projekter kan bruges i virkelige angreb
Selvom forskerne beskriver metoden som et proof of concept, advarer de om, at trusselsaktører let kan omsætte teknikken til virkelige angreb.
Angribere kan sprede tilsyneladende legitime GitHub-repositorier via falske jobopslag, programmeringsvejledninger, blogindlæg, open source-projekter eller direkte beskeder målrettet udviklere.
Angrebet bygger på social engineering frem for udnyttelse af en softwaresårbarhed, hvilket gør det vanskeligt at opdage med traditionelle sikkerhedsløsninger.
Mozilla anbefaler større gennemsigtighed
For at reducere risikoen for lignende angreb anbefaler 0DIN, at AI-kodningsagenter tydeligt viser alle de trin, de planlægger at udføre under installationen af et projekt.
Forskerne mener, at udviklere ikke kun bør kunne se de kommandoer, AI-assistenten udfører, men også de scripts, eksterne ressourcer og dynamisk hentede elementer, som kommandoerne aktiverer, før de bliver kørt.
Fuld gennemsigtighed i hele eksekveringskæden vil gøre det langt sværere for angribere at skjule ondsindede handlinger bag tilsyneladende normale installationsinstruktioner.
Ofte stillede spørgsmål
Hvordan fungerer angrebet mod AI-kodningsagenter via GitHub?
Angrebet narrer en AI-kodningsassistent til at følge tilsyneladende legitime installationsinstruktioner, som i sidste ende henter og udfører kommandoer fra en DNS-post kontrolleret af angriberen.
Indeholder GitHub-repositoriet malware?
Nej. Forskerne designede angrebet, så selve repositoriet fremstår rent, hvilket gør den skadelige nyttelast betydeligt sværere at opdage under kodegennemgange.
Hvilken AI-kodningsassistent testede forskerne?
Forskerne fra Mozillas 0DIN demonstrerede teknikken med Claude Code, men de advarer om, at lignende AI-kodningsagenter, som automatisk fejlsøger installationsproblemer, kan være sårbare over for tilsvarende angreb.


0 svar til “GitHub-repositorium kan narre AI-kodningsagenter til at køre skjult malware”