Sicherheitsforscher haben eine neue Angriffsmethode vorgestellt, mit der sich KI-Coding-Agenten dazu verleiten lassen, versteckte Schadsoftware auszuführen – selbst wenn ein GitHub-Repository vollkommen legitim aussieht.

Forscher von Mozillas Zero Day Investigative Network (0DIN) erklären, dass die Methode ausnutzt, wie KI-gestützte Coding-Assistenten Probleme bei der Softwareinstallation automatisch beheben. Anstatt Schadcode direkt im Repository zu platzieren, manipulieren Angreifer vertrauenswürdig wirkende Einrichtungsschritte, um einen KI-Agenten dazu zu bringen, eine schädliche Nutzlast auszuführen.

Die Forscher testeten die Technik mit Claude Code und zeigten, wie ein Angreifer eine interaktive Shell auf dem System eines Entwicklers erhalten kann, ohne bösartigen Code im geklonten GitHub-Repository zu hinterlegen.

KI-Agenten können die gesamte Angriffskette auslösen

Laut 0DIN besteht der Angriff aus drei scheinbar harmlosen Komponenten, die erst in ihrer Kombination gefährlich werden.

Die erste Komponente ist ein seriös wirkendes GitHub-Repository mit gewöhnlichen Installationsanweisungen, etwa zum Installieren von Abhängigkeiten oder zum Initialisieren eines Projekts.

Anschließend verweigert das bereitgestellte Python-Paket absichtlich die Ausführung, bis der Nutzer einen Initialisierungsbefehl ausführt. Wenn Claude Code auf die Fehlermeldung stößt, interpretiert der Assistent sie als gewöhnliches Installationsproblem und führt automatisch den vorgeschlagenen Befehl aus, um den Fehler zu beheben.

Dieser Befehl startet ein Shell-Skript, das einen Konfigurationswert aus einem vom Angreifer kontrollierten DNS-TXT-Eintrag abruft und anschließend als Systembefehl ausführt.

Da sich die schädliche Nutzlast niemals direkt im GitHub-Repository befindet, können herkömmliche Codeprüfungen und viele Sicherheitslösungen den Angriff übersehen.

Es wird kein Exploit-Code benötigt

Die Forscher betonen, dass die Methode weder auf Software-Schwachstellen noch auf Exploit-Code angewiesen ist.

Stattdessen missbraucht sie normale Entwicklungsabläufe und die Bereitschaft von KI-Coding-Agenten, Installationsprobleme automatisch zu beheben.

„Claude Code never decided to open a shell. It decided to fix an error“, erklären die Forscher.

„The reverse shell is three indirection steps away from anything Claude Code actually evaluated: an error message it trusted, a script that fetched a value, and a DNS record it never saw.“

Indem der KI-Agent einem scheinbar legitimen Fehlerbehebungsprozess folgt, führt er unwissentlich sämtliche Schritte des Angriffs aus.

Erfolgreicher Angriff kann Entwicklersysteme kompromittieren

Gelingt der Angriff, erhält der Angreifer eine interaktive Shell mit den Benutzerrechten des Entwicklers.

Dadurch kann er auf Umgebungsvariablen, API-Schlüssel, lokale Konfigurationsdateien, Authentifizierungs-Token und andere sensible Entwicklungsressourcen zugreifen. Außerdem kann er dauerhaften Zugriff einrichten oder sich weiter im kompromittierten System ausbreiten.

Da die Kompromittierung während einer routinemäßigen Projekteinrichtung erfolgt, bemerken Entwickler möglicherweise nie, dass ihr KI-Assistent den Angriff selbst ausgelöst hat.

Gefälschte GitHub-Projekte könnten für echte Angriffe genutzt werden

Obwohl die Forscher die Methode als Machbarkeitsnachweis beschreiben, warnen sie, dass Bedrohungsakteure sie problemlos für reale Angriffskampagnen einsetzen könnten.

Angreifer könnten scheinbar seriöse GitHub-Repositories über gefälschte Stellenangebote, Programmier-Tutorials, Blogbeiträge, Open-Source-Projekte oder Direktnachrichten an Entwickler verbreiten.

Der Angriff basiert auf Social Engineering und nicht auf der Ausnutzung einer Software-Schwachstelle. Dadurch lässt er sich mit herkömmlichen Sicherheitsmaßnahmen nur schwer erkennen.

Mozilla fordert mehr Transparenz

Um das Risiko ähnlicher Angriffe zu verringern, empfiehlt 0DIN, dass KI-Coding-Agenten sämtliche Schritte offenlegen, die sie während der Einrichtung eines Projekts ausführen möchten.

Nach Ansicht der Forscher sollten Entwickler nicht nur die ausgeführten Befehle sehen, sondern auch alle Skripte, externen Ressourcen und dynamisch geladenen Inhalte, die diese Befehle vor ihrer Ausführung aufrufen.

Eine vollständige Transparenz der gesamten Ausführungskette würde es Angreifern erheblich erschweren, schädliche Aktionen hinter scheinbar harmlosen Installationsanweisungen zu verbergen.

Häufig gestellte Fragen

Wie funktioniert der Angriff auf KI-Coding-Agenten über GitHub?

Der Angriff verleitet einen KI-Coding-Assistenten dazu, scheinbar legitime Installationsanweisungen auszuführen, die letztlich von Angreifern kontrollierte Befehle aus einem DNS-Eintrag abrufen und ausführen.

Enthält das GitHub-Repository Schadsoftware?

Nein. Die Forscher haben den Angriff so konzipiert, dass das Repository selbst sauber erscheint. Dadurch ist die eigentliche Schadsoftware bei Codeprüfungen deutlich schwerer zu entdecken.

Welchen KI-Coding-Assistenten haben die Forscher getestet?

Die Forscher von Mozillas 0DIN demonstrierten die Technik mit Claude Code. Sie warnen jedoch, dass auch andere KI-Coding-Agenten, die Installationsprobleme automatisch beheben, für vergleichbare Angriffe anfällig sein könnten.


0 Kommentare zu „GitHub-Repository kann KI-Coding-Agenten dazu verleiten, versteckte Schadsoftware auszuführen“