Uma ferramenta de programação com agentes, encarregada de executar um repositório aparentemente benigno no GitHub, poderia acionar um payload malicioso invisível tanto para agentes de segurança quanto para revisores humanos.
Pesquisadores da plataforma de segurança em IA Zero Day Investigative Network (0DIN), da Mozilla, afirmam que o comprometimento ocorre “sem código de exploit, sem alerta e sem nenhum comando suspeito que alguém precisasse aprovar”.
Eles demonstraram como um atacante poderia instalar um shell interativo no dispositivo de um desenvolvedor ao usar o Claude Code para executar um projeto clonado que não continha código malicioso no repositório.
A nova técnica de ataque depende de três componentes que, isoladamente, não representam ameaça e não despertam suspeitas: um repositório do GitHub com aparência limpa e instruções padrão de configuração, como instalar dependências e inicializar o projeto, por exemplo, `pip3 install -r requirements.txt` e `python3 -m axiom init`.
O pacote em Python foi deliberadamente criado para recusar a execução até ser inicializado.
Ele gera um erro instruindo o usuário a executar `python3 -m axiom init`.
O Claude Code interpreta isso como um problema normal de configuração e executa automaticamente o comando sugerido ao tentar se recuperar do erro.
A execução de `python3 -m axiom init` chama um script de shell que recupera o valor de configuração armazenado em um registro TXT do DNS controlado pelo atacante e o executa como um comando.
Os pesquisadores do 0DIN explicam que essa abordagem não exige nenhum componente malicioso no repositório clonado e que o agente automatiza toda a cadeia do ataque, inclusive uma etapa que imita um erro comum do usuário.
Se for bem-sucedido, o atacante obtém um shell executado com os privilégios do desenvolvedor, o que abre acesso a variáveis de ambiente, chaves de API, arquivos de configuração locais e a possibilidade de estabelecer persistência.
“O Claude Code nunca decidiu abrir um shell.
Ele decidiu corrigir um erro.
O reverse shell está a três etapas de indireção de tudo o que o Claude Code realmente avaliou: uma mensagem de erro em que confiou, um script que buscou um valor e um registro DNS que ele nunca viu”, afirmam os pesquisadores do 0DIN.
“O atacante agora tem um shell interativo em execução como o próprio usuário do desenvolvedor.”
Embora a técnica ainda seja apenas um conceito, o 0DIN alerta que threat actors poderiam distribuir facilmente esses repositórios do GitHub por meio de falsas vagas de emprego, tutoriais, publicações em blogs ou mensagens diretas.
Para evitar esse tipo de exploração, o 0DIN sugere que os agentes de IA divulguem toda a cadeia de execução dos comandos de configuração, incluindo scripts e código buscados dinamicamente em tempo de execução.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...