Claude Code uruchamia ukryty malware z GitHub bez weryfikacji, dając atakującym pełną kontrolę

Badacze bezpieczeństwa z 0DIN, platformy Mozilla zajmującej się błędami w generatywnej sztucznej inteligencji, odkryli nowy wektor ataku wymierzony w maszyny deweloperów. Przez pozornie zwykłe repozytorium GitHub atakujący mogą uzyskać pełną kontrolę poprzez pośrednią iniekcję promptu, gdy tylko ktoś użyje narzędzia AI do kodowania, takiego jak Claude Code. Szczegółowa analiza zagrożenia została opublikowana na The Decoder.

Kluczowe wnioski

• Skrypt instalacyjny w repozytorium pobiera polecenie z wpisu DNS w czasie wykonywania i je uruchamia, co czyni złośliwy kod niewidocznym dla skanerów i recenzji kodu.
• Claude Code automatycznie uruchamia skrypt po napotkaniu rutynowego komunikatu o błędzie, otwierając odwrotną powłokę dla atakującego.
• Atakujący może ukraść klucze API i dane logowania oraz utrzymać trwały dostęp do skompromitowanej maszyny.
• Wystarczy jeden link do repozytorium w ofercie pracy, tutorialu lub wiadomości Slack, aby zagrozić każdemu, kto otworzy go za pomocą narzędzia AI do kodowania.
• Badacze zalecają, aby agenci AI pokazywali zawartość skryptów instalacyjnych przed ich uruchomieniem.

Mechanizm ataku ukryty przed standardowymi zabezpieczeniami

Nowość tego wektora ataku polega na tym, że złośliwy kod nigdy nie istnieje bezpośrednio w repozytorium. Zamiast tego skrypt konfiguracyjny pobiera polecenia z wpisu DNS dopiero w momencie wykonania. Takie rozwiązanie sprawia, że atak jest niewidoczny dla tradycyjnych metod wykrywania — skanery bezpieczeństwa, przeglądy kodu oraz sam agent AI nie są w stanie zidentyfikować zagrożenia.

Gdy deweloper używa Claude Code do pracy z pozornie niewinnym repozytorium, narzędzie AI napotyka rutynowy komunikat o błędzie podczas konfiguracji. W odpowiedzi automatycznie uruchamia skrypt naprawczy, który w rzeczywistości otwiera odwrotną powłokę systemową dla atakującego.

Konsekwencje i zalecenia ekspertów

Po uzyskaniu dostępu atakujący może przejąć pełną kontrolę nad maszyną ofiary. Oznacza to możliwość kradzieży kluczy API, danych logowania oraz ustanowienia trwałego dostępu do systemu. Szczególnie niepokojące jest to, jak łatwo można rozprzestrzenić taki atak — wystarczy umieścić link do złośliwego repozytorium w ofercie pracy, materiale szkoleniowym czy zwykłej wiadomości na Slacku.

Badacze z 0DIN proponują konkretne rozwiązania tego problemu. Przede wszystkim agenci AI powinni wyświetlać użytkownikowi zawartość skryptów instalacyjnych przed ich automatycznym wykonaniem. Deweloperzy z kolei powinni traktować instrukcje konfiguracyjne z zewnętrznych repozytoriów jako niezaufany kod wymagający dodatkowej weryfikacji.

To odkrycie podkreśla rosnące zagrożenia związane z integracją narzędzi AI w procesach deweloperskich i konieczność wypracowania nowych standardów bezpieczeństwa dla tego typu aplikacji.