📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma ferramenta de codificação de agente encarregada de clonar e configurar um repositório GitHub aparentemente benigno poderia executar uma carga maliciosa que permanece invisível para scanners de segurança, agentes de IA e revisores humanos.
Pesquisadores da plataforma de segurança AI Zero Day Investigative Network (0DIN) da Mozilla dizem que o comprometimento acontece “sem código de exploração, sem aviso, sem comando suspeito que alguém tenha que aprovar”.
Eles demonstraram como um invasor poderia implantar um shell interativo no dispositivo de um desenvolvedor usando o Claude Code para executar um projeto clonado sem código malicioso no repositório.
O novo método de ataque depende de três componentes, que separadamente não representam nenhuma ameaça e não levantam suspeitas:
Um repositório GitHub de aparência limpa com instruções de configuração padrão, como instalação de dependências e inicialização do projeto (por exemplo, pip3 install -r requisitos.txt, python3 -m axiom init)
o pacote Python é intencionalmente projetado para recusar a execução até que seja inicializado; gera um erro instruindo o usuário a executar python3 -m axiom init. Claude Code trata isso como um problema normal de configuração e executa automaticamente o comando sugerido ao tentar se recuperar do erro
A execução de python3 -m axiom init chama um script de shell que recupera o valor de configuração armazenado em um registro DNS TXT controlado pelo invasor e é executado como um comando
Os pesquisadores do 0DIN explicam que essa abordagem não requer nenhum componente malicioso no repositório clonado, e o agente automatiza toda a cadeia de ataque, incluindo uma etapa que imita um erro comum do usuário.
Se for bem-sucedido, o invasor obterá um shell executado com privilégios de desenvolvedor, dando-lhe acesso a variáveis de ambiente, chaves de API, arquivos de configuração locais e a oportunidade de estabelecer persistência.
"Claude Code nunca decidiu abrir um shell. Ele decidiu corrigir um erro. O shell reverso está a três passos indiretos de qualquer coisa que Claude Code realmente avaliou: uma mensagem de erro em que ele confiava, um script que buscou um valor e um registro DNS que ele nunca viu", dizem os pesquisadores do 0DIN.
“O invasor agora tem um shell interativo rodando como usuário do próprio desenvolvedor.”
Embora o método de ataque seja atualmente apenas um conceito, 0DIN alerta que os agentes de ameaças podem facilmente distribuir esses repositórios GitHub por meio de anúncios de emprego falsos, tutoriais, postagens em blogs ou mensagens diretas.
Para evitar tal exploração, 0DIN sugere que os agentes de IA divulguem toda a cadeia de execução dos comandos de configuração, incluindo scripts e códigos obtidos dinamicamente em tempo de execução.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
Pesquisadores da plataforma de segurança AI Zero Day Investigative Network (0DIN) da Mozilla dizem que o comprometimento acontece “sem código de exploração, sem aviso, sem comando suspeito que alguém tenha que aprovar”.
Eles demonstraram como um invasor poderia implantar um shell interativo no dispositivo de um desenvolvedor usando o Claude Code para executar um projeto clonado sem código malicioso no repositório.
O novo método de ataque depende de três componentes, que separadamente não representam nenhuma ameaça e não levantam suspeitas:
Um repositório GitHub de aparência limpa com instruções de configuração padrão, como instalação de dependências e inicialização do projeto (por exemplo, pip3 install -r requisitos.txt, python3 -m axiom init)
o pacote Python é intencionalmente projetado para recusar a execução até que seja inicializado; gera um erro instruindo o usuário a executar python3 -m axiom init. Claude Code trata isso como um problema normal de configuração e executa automaticamente o comando sugerido ao tentar se recuperar do erro
A execução de python3 -m axiom init chama um script de shell que recupera o valor de configuração armazenado em um registro DNS TXT controlado pelo invasor e é executado como um comando
Os pesquisadores do 0DIN explicam que essa abordagem não requer nenhum componente malicioso no repositório clonado, e o agente automatiza toda a cadeia de ataque, incluindo uma etapa que imita um erro comum do usuário.
Se for bem-sucedido, o invasor obterá um shell executado com privilégios de desenvolvedor, dando-lhe acesso a variáveis de ambiente, chaves de API, arquivos de configuração locais e a oportunidade de estabelecer persistência.
"Claude Code nunca decidiu abrir um shell. Ele decidiu corrigir um erro. O shell reverso está a três passos indiretos de qualquer coisa que Claude Code realmente avaliou: uma mensagem de erro em que ele confiava, um script que buscou um valor e um registro DNS que ele nunca viu", dizem os pesquisadores do 0DIN.
“O invasor agora tem um shell interativo rodando como usuário do próprio desenvolvedor.”
Embora o método de ataque seja atualmente apenas um conceito, 0DIN alerta que os agentes de ameaças podem facilmente distribuir esses repositórios GitHub por meio de anúncios de emprego falsos, tutoriais, postagens em blogs ou mensagens diretas.
Para evitar tal exploração, 0DIN sugere que os agentes de IA divulguem toda a cadeia de execução dos comandos de configuração, incluindo scripts e códigos obtidos dinamicamente em tempo de execução.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #o #repositório #limpo #do #github #engana #os #agentes #de #codificação #de #ia #para #executar #malware
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário