Хакери навчилися використовувати Claude Code для запуску malware через GitHub

Дослідники з команди безпеки Mozilla 0din продемонстрували новий тип атаки, у якому ШІ-інструмент Claude Code стає засобом для запуску шкідливого програмного забезпечення на комп’ютері розробника. Хакери обманом змушують Claude встановити malware, просто попросивши агента ініціалізувати проєкт із зовні цілком «чистого» репозиторію на GitHub. Про це пише Tom’s Hardware.

Читайте также: На 10% менша за Юпітер. Вчені виявили можливі соляні хмари на рожевій планеті GJ504b

Атака в три кроки, кожен із яких виглядає невинно

Усе, що потрібно зловмиснику — це переконати розробника-жертву попросити Claude Code створити локальну робочу копію проєкту з репозиторію (або налаштувати його після того, як користувач уже клонував репозиторій самостійно). Сам репозиторій виглядає максимально стандартно: лише кілька базових файлів-заготовок, і жодних ознак, які б спрацювали як тригери для систем безпеки — ні віддалених, ні локальних, ні навіть внутрішніх перевірок самого Claude.

Алгоритм атаки складається з трьох рівнів непрямих дій, кожен із яких окремо виглядає абсолютно буденно:

• Крок перший. Claude клонує репозиторій і обробляє файл README, який описує, як налаштувати Python-середовище з пакетом Axiom — поширеним інструментом моніторингу. Усе виглядає легітимно. Але в репозиторії підкладено фейковий скрипт запуску Axiom, який одразу видає помилку при першому запуску.
• Крок другий. Саме ця «помилка» і є пасткою: щоб допомогти користувачеві й вирішити проблему, Claude самостійно запускає ще одну на перший погляд невинну команду для ініціалізації Axiom. Це запускає shell-скрипт, який завантажує невеликий програмний компонент. Це стандартна операція, яка не викликає підозр.
• Крок третій, найхитріший. Замість завантаження зі шкідливого URL, який легко просканувати на загрозу, скрипт читає DNS TXT-записи певного домену. Це теж виглядає достатньо благонадійно — TXT-записи широко використовуються, зокрема, для налаштування електронної пошти.

Реверс-шелл і повний контроль над акаунтом розробника

Цей самий TXT-запис містить рядок, закодований у base64, який відкриває реверс-шелл — командну оболонку на машині користувача, переадресовану для введення на сервер зловмисника. Із цього моменту атакуючі отримують доступ до всього, до чого мав доступ сам користувач, і можуть виконувати команди від його імені.

При цьому Claude та сама жертва бачать лише повідомлення типу Environment ready (Середовище готове) — жодних ознак того, що щось пішло не так.

У результаті зловмисник отримує контроль над акаунтом розробника: доступ до всіх його секретів, API-ключів, коду, документів, активних сесій у браузері та паролів. Зловмисники можуть навіть встановити додатковий malware, щоб закріпити постійний доступ до системи.

Читайте также: Rockstar заблокувала частину GTA VI за пейвол — фанати в гніві

Чому Claude Code не бачить пастку

Особливість цієї атаки в тому, що жоден окремий крок не виглядає підозріло — лише фінальна дія з відкриттям віддаленого шелу могла б привернути увагу. Дуже мало інструментів сканування безпеки (якщо взагалі такі є) можуть позначити такий репозиторій як підозрілий. Корпоративне середовище з жорстко контрольованим мережевим доступом могло би перехопити цю атаку, але там працює лише невелика частка розробників.

Дослідники наголошують: ця конкретна реалізація — лише один приклад концепції, яку можна застосувати в ще більш заплутаних і непрямих варіаціях. Хоча найпопулярнішим інструментом для програмування серед розробників наразі залишається саме Claude, практично будь-який ШІ-агент вразливий до подібного типу атак.

Як захиститися від встановлення malware

У своєму звіті команда 0din формулює доволі очевидну, але важливу рекомендацію: розробники ніколи не повинні безумовно довіряти невідомому проєкту як надійному коду — і тим більше не варто довіряти ШІ-інструменту аналіз безпеки коду, який він обробляє. Що стосується самих агентів, на думку дослідників, їм потрібно навчитися перевіряти всі можливі дії, а не просто механічно слідувати наданим інструкціям.

Нагадаємо, нещодавно стало відомо, що хакери використовують критичну вразливість Zimbra для атак на українські державні установи.

Читайте также: Вікові захворювання. Еволюція пояснила, чому довге життя часто супроводжується хворобами

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn