Sikkerhetsforskere har demonstrert en ny angrepsmetode som kan lure AI-kodingsagenter til å kjøre skjult skadevare, selv når et GitHub-repositorium ser helt legitimt ut.
Forskere ved Mozillas Zero Day Investigative Network (0DIN) opplyser at metoden utnytter hvordan AI-drevne kodingsassistenter automatisk feilsøker problemer som oppstår under programvareinstallasjon. I stedet for å basere seg på skadevare i selve repositoriet manipulerer angriperne tilsynelatende pålitelige installasjonstrinn for å få AI-agenten til å kjøre en skadelig nyttelast.
Forskerne testet teknikken mot Claude Code og viste hvordan en angriper kunne få et interaktivt skall på en utviklers maskin uten å plassere skadelig kode i det klonede GitHub-repositoriet.
AI-agenter kan utløse hele angrepskjeden
Ifølge 0DIN krever angrepet tre tilsynelatende ufarlige komponenter som bare blir farlige når de kombineres.
Den første komponenten er et GitHub-repositorium som ser legitimt ut og inneholder vanlige installasjonsinstruksjoner, for eksempel installasjon av avhengigheter og initialisering av et prosjekt.
Deretter nekter den medfølgende Python-pakken bevisst å kjøre før brukeren utfører en initialiseringskommando. Når Claude Code møter feilmeldingen, tolker den den som et vanlig installasjonsproblem og kjører automatisk den anbefalte kommandoen for å forsøke å løse situasjonen.
Denne kommandoen starter et skallskript som henter en konfigurasjonsverdi fra en DNS TXT-post kontrollert av angriperen, før verdien kjøres som en systemkommando.
Fordi den skadelige nyttelasten aldri ligger direkte i GitHub-repositoriet, kan tradisjonelle kodegjennomganger og mange sikkerhetsverktøy overse angrepet.
Ingen exploit-kode er nødvendig
Forskerne understreker at metoden ikke er avhengig av programvaresårbarheter eller exploit-kode.
I stedet misbruker den normale utviklingsprosesser og AI-kodingsagenters vilje til automatisk å løse installasjonsproblemer.
«Claude Code never decided to open a shell. It decided to fix an error,» forklarer forskerne.
«The reverse shell is three indirection steps away from anything Claude Code actually evaluated: an error message it trusted, a script that fetched a value, and a DNS record it never saw.»
Ved å følge det som fremstår som en legitim feilsøkingsprosess fullfører AI-agenten uvitende alle trinnene i angrepet.
Vellykket angrep kan kompromittere utviklersystemer
Hvis angrepet lykkes, får angriperen et interaktivt skall som kjører med utviklerens brukertilgang.
Denne tilgangen kan eksponere miljøvariabler, API-nøkler, lokale konfigurasjonsfiler, autentiseringstokener og andre sensitive utviklingsressurser. Angriperen kan også etablere vedvarende tilgang eller bevege seg videre inn i offerets miljø.
Siden kompromitteringen skjer under en rutinemessig prosjektinstallasjon, er det mulig at utvikleren aldri oppdager at AI-assistenten startet angrepet.
Falske GitHub-prosjekter kan brukes i virkelige angrep
Selv om forskerne beskriver metoden som et konseptbevis, advarer de om at trusselaktører enkelt kan ta teknikken i bruk i reelle angrep.
Angripere kan spre tilsynelatende legitime GitHub-repositorier gjennom falske jobbannonser, programmeringsveiledninger, blogginnlegg, open source-prosjekter eller direktemeldinger rettet mot utviklere.
Angrepet bygger på sosial manipulering snarere enn utnyttelse av en programvaresårbarhet, noe som gjør det vanskelig å oppdage med tradisjonelle sikkerhetsløsninger.
Mozilla anbefaler større åpenhet
For å redusere risikoen for lignende angrep anbefaler 0DIN at AI-kodingsagenter tydelig viser alle trinnene de planlegger å utføre under installasjon av et prosjekt.
Forskerne mener utviklere ikke bare bør se hvilke kommandoer AI-assistenten kjører, men også hvilke skript, eksterne ressurser og dynamisk hentet innhold disse kommandoene aktiverer før de kjøres.
Full innsikt i hele kjeden av kommandoer og handlinger vil gjøre det betydelig vanskeligere for angripere å skjule skadelige aktiviteter bak tilsynelatende vanlige installasjonsinstruksjoner.
Vanlige spørsmål
Hvordan fungerer angrepet mot AI-kodingsagenter via GitHub?
Angrepet lurer en AI-kodingsassistent til å følge tilsynelatende legitime installasjonsinstruksjoner som til slutt henter og kjører kommandoer fra en DNS-post kontrollert av angriperen.
Inneholder GitHub-repositoriet skadevare?
Nei. Forskerne utformet angrepet slik at selve repositoriet fremstår som rent, noe som gjør den skadelige nyttelasten langt vanskeligere å oppdage under kodegjennomganger.
Hvilken AI-kodingsassistent testet forskerne?
Forskerne ved Mozillas 0DIN demonstrerte teknikken med Claude Code, men de advarer om at lignende AI-kodingsagenter som automatisk feilsøker installasjonsproblemer, kan være utsatt for tilsvarende angrep.


0 responses to “GitHub-repositorium kan lure AI-kodingsagenter til å kjøre skjult skadevare”