Luka w Claude Code pozwala na przejęcie kontroli nad komputerami deweloperów przez złośliwe repozytoria GitHub

Badacze bezpieczeństwa z 0DIN, platformy Mozilla GenAI do wyszukiwania błędów, zidentyfikowali nowy wektor ataku, który zagraża komputerom deweloperów. Poprzez pozornie normalne repozytorium GitHub, atakujący mogą uzyskać pełną kontrolę nad systemem, gdy tylko narzędzie do kodowania AI, takie jak Claude Code, zostanie użyte do pracy z tym repozytorium. Mechanizm ten opiera się na technice pośredniej iniekcji promptów.

Jak działa atak?

Złośliwy mechanizm działa w sposób niezwykle podstępny. W repozytorium znajduje się skrypt instalacyjny, który w czasie działania pobiera komendę z wpisu DNS i natychmiast ją wykonuje. Kluczowe jest to, że złośliwy kod nigdy nie jest bezpośrednio obecny w samym repozytorium. Dzięki temu pozostaje on niewidoczny dla standardowych skanerów bezpieczeństwa, procesów recenzji kodu oraz dla samego agenta AI.

Podczas konfiguracji, Claude Code napotyka rutynowy komunikat o błędzie. W tym momencie narzędzie AI automatycznie uruchamia wspomniany skrypt, co prowadzi do otwarcia odwrotnej powłoki (reverse shell) dla atakującego. Od tego momentu cyberprzestępca uzyskuje dostęp do systemu, co pozwala mu na:

• Przechwytywanie kluczy API.
• Pozyskiwanie danych logowania i innych poświadczeń.
• Utrzymywanie trwałego dostępu do skompromitowanej maszyny.

Wystarczy jeden link do złośliwego repozytorium – umieszczony na przykład w ogłoszeniu o pracę, samouczku lub wiadomości na platformie Slack – aby skompromitować każdego dewelopera, który otworzy go za pomocą narzędzia do kodowania AI.

Zalecenia i środki zaradcze

Badacze z 0DIN wskazują na proste, lecz fundamentalne rozwiązania mające na celu zniwelowanie tego zagrożenia. Przede wszystkim, agenci AI powinni wyświetlać zawartość skryptu instalacyjnego przed jego uruchomieniem. Taka transparentność pozwoliłaby deweloperom na weryfikację kodu przed jego wykonaniem.

Dodatkowo, deweloperzy powinni przyjąć zasadę, że instrukcje instalacyjne zawarte w repozytoriach stron trzecich należy traktować jako niezaufany kod. Oznacza to konieczność zachowania szczególnej ostrożności i manualnej weryfikacji wszelkich skryptów przed ich uruchomieniem, niezależnie od tego, czy korzystają z narzędzi AI, czy też nie.

Odkrycie to podkreśla rosnącą potrzebę rygorystycznych protokołów bezpieczeństwa w miarę integracji narzędzi AI z codziennymi procesami deweloperskimi. Wskazuje również na to, że nawet najbardziej zaawansowane technologie, takie jak AI w kodowaniu, mogą stać się wektorem ataku, jeśli nie zostaną odpowiednio zabezpieczone i zweryfikowane pod kątem potencjalnych luk.

Źródło: the-decoder.com