Хакеры выстраивают вокруг GitHub-репозитория новую технику атаки на разработчиков
Исследователи из Mozilla Zero Day Investigative Network (0DIN) продемонстрировали новую технику атаки на разработчиков, использующих ИИ-ассистентов вроде Claude Code. Эксперт «Группы Астра» Эдуард Тихомиров отметил, что во многих ИИ-агентах предусмотрена опция автоматического применения изменений без запроса подтверждения и именно здесь возникает реальная угроза.
Вся схема строится вокруг обычного на вид GitHub-репозитория, в котором нет ни вредоносного кода, ни подозрительных команд, ни других очевидных признаков компрометации, пишет Anti-malware.
Злоумышленники используют привычное желание ИИ починить проект. В репозитории размещается Python-пакет, который при запуске специально выдает ошибку и предлагает выполнить команду инициализации.
Для разработчика это выглядит как типичная проблема при первом запуске проекта. А Claude Code воспринимает сообщение как руководство к действию и автоматически запускает рекомендованную команду, пытаясь исправить ошибку. Скрипт обращается к DNS TXT-записи, контролируемой злоумышленником, получает оттуда скрытую команду и выполняет ее. Вредоносный код при этом вообще отсутствует в репозитории, он загружается только в момент выполнения.
Такой подход осложняет обнаружение атаки — автоматические сканеры и специалисты по безопасности могут не найти ничего подозрительного при анализе проекта, поскольку опасная нагрузка появляется уже после запуска.
Если атака проходит успешно, то злоумышленник получает интерактивную оболочку с правами пользователя и может похитить API-ключи, токены, переменные окружения, локальные конфигурации и другие секреты разработчика.
Эдуард Тихомиров, технический директор GitFlic (входит в «Группу Астра») подчеркнул, что примитивный плагин или несложный скрипт нейросеть действительно сгенерирует, однако при работе с крупными корпоративными системами репозиториями на сотни тысяч строк, этого уже недостаточно.
«Также важно отметить, что появление ИИ-агентов расхолаживает некоторых специалистов. На первых порах разработчик или DevOps-инженер контролирует действия агента: проверяет команды, разрешает или блокирует их выполнение. И это критически важно, поскольку на рабочих машинах, особенно у специалистов на ведущих позициях, хранятся SSH-ключи к продакшн-серверам, конфигурации VPN, доступ к основной ветке репозитория и другие чувствительные данные.
Однако со временем такой контроль начинает восприниматься как рутина. Во многих агентах предусмотрена опция автоматического применения изменений без запроса подтверждения и именно здесь возникает реальная угроза. Даже квалифицированный специалист, в принципе способный оценить корректность действий, рискует попросту не заметить, какие именно команды выполняет агент», — говорит эксперт Эдуард Тихомиров.