Sikkerhetsforskere har demonstrert en ny angrepsmetode som kan lure AI-kodingsagenter til å kjøre skjult skadevare, selv når et GitHub-repositorium ser helt legitimt ut.

Forskere ved Mozillas Zero Day Investigative Network (0DIN) opplyser at metoden utnytter hvordan AI-drevne kodingsassistenter automatisk feilsøker problemer som oppstår under programvareinstallasjon. I stedet for å basere seg på skadevare i selve repositoriet manipulerer angriperne tilsynelatende pålitelige installasjonstrinn for å få AI-agenten til å kjøre en skadelig nyttelast.

Forskerne testet teknikken mot Claude Code og viste hvordan en angriper kunne få et interaktivt skall på en utviklers maskin uten å plassere skadelig kode i det klonede GitHub-repositoriet.

AI-agenter kan utløse hele angrepskjeden

Ifølge 0DIN krever angrepet tre tilsynelatende ufarlige komponenter som bare blir farlige når de kombineres.

Den første komponenten er et GitHub-repositorium som ser legitimt ut og inneholder vanlige installasjonsinstruksjoner, for eksempel installasjon av avhengigheter og initialisering av et prosjekt.

Deretter nekter den medfølgende Python-pakken bevisst å kjøre før brukeren utfører en initialiseringskommando. Når Claude Code møter feilmeldingen, tolker den den som et vanlig installasjonsproblem og kjører automatisk den anbefalte kommandoen for å forsøke å løse situasjonen.

Denne kommandoen starter et skallskript som henter en konfigurasjonsverdi fra en DNS TXT-post kontrollert av angriperen, før verdien kjøres som en systemkommando.

Fordi den skadelige nyttelasten aldri ligger direkte i GitHub-repositoriet, kan tradisjonelle kodegjennomganger og mange sikkerhetsverktøy overse angrepet.

Ingen exploit-kode er nødvendig

Forskerne understreker at metoden ikke er avhengig av programvaresårbarheter eller exploit-kode.

I stedet misbruker den normale utviklingsprosesser og AI-kodingsagenters vilje til automatisk å løse installasjonsproblemer.

«Claude Code never decided to open a shell. It decided to fix an error,» forklarer forskerne.

«The reverse shell is three indirection steps away from anything Claude Code actually evaluated: an error message it trusted, a script that fetched a value, and a DNS record it never saw.»

Ved å følge det som fremstår som en legitim feilsøkingsprosess fullfører AI-agenten uvitende alle trinnene i angrepet.

Vellykket angrep kan kompromittere utviklersystemer

Hvis angrepet lykkes, får angriperen et interaktivt skall som kjører med utviklerens brukertilgang.

Denne tilgangen kan eksponere miljøvariabler, API-nøkler, lokale konfigurasjonsfiler, autentiseringstokener og andre sensitive utviklingsressurser. Angriperen kan også etablere vedvarende tilgang eller bevege seg videre inn i offerets miljø.

Siden kompromitteringen skjer under en rutinemessig prosjektinstallasjon, er det mulig at utvikleren aldri oppdager at AI-assistenten startet angrepet.

Falske GitHub-prosjekter kan brukes i virkelige angrep

Selv om forskerne beskriver metoden som et konseptbevis, advarer de om at trusselaktører enkelt kan ta teknikken i bruk i reelle angrep.

Angripere kan spre tilsynelatende legitime GitHub-repositorier gjennom falske jobbannonser, programmeringsveiledninger, blogginnlegg, open source-prosjekter eller direktemeldinger rettet mot utviklere.

Angrepet bygger på sosial manipulering snarere enn utnyttelse av en programvaresårbarhet, noe som gjør det vanskelig å oppdage med tradisjonelle sikkerhetsløsninger.

Mozilla anbefaler større åpenhet

For å redusere risikoen for lignende angrep anbefaler 0DIN at AI-kodingsagenter tydelig viser alle trinnene de planlegger å utføre under installasjon av et prosjekt.

Forskerne mener utviklere ikke bare bør se hvilke kommandoer AI-assistenten kjører, men også hvilke skript, eksterne ressurser og dynamisk hentet innhold disse kommandoene aktiverer før de kjøres.

Full innsikt i hele kjeden av kommandoer og handlinger vil gjøre det betydelig vanskeligere for angripere å skjule skadelige aktiviteter bak tilsynelatende vanlige installasjonsinstruksjoner.

Vanlige spørsmål

Hvordan fungerer angrepet mot AI-kodingsagenter via GitHub?

Angrepet lurer en AI-kodingsassistent til å følge tilsynelatende legitime installasjonsinstruksjoner som til slutt henter og kjører kommandoer fra en DNS-post kontrollert av angriperen.

Inneholder GitHub-repositoriet skadevare?

Nei. Forskerne utformet angrepet slik at selve repositoriet fremstår som rent, noe som gjør den skadelige nyttelasten langt vanskeligere å oppdage under kodegjennomganger.

Hvilken AI-kodingsassistent testet forskerne?

Forskerne ved Mozillas 0DIN demonstrerte teknikken med Claude Code, men de advarer om at lignende AI-kodingsagenter som automatisk feilsøker installasjonsproblemer, kan være utsatt for tilsvarende angrep.


0 responses to “GitHub-repositorium kan lure AI-kodingsagenter til å kjøre skjult skadevare”