ЧИСТЫЙ РЕПОЗИТОРИЙ НА GITHUB МОЖЕТ ЗАВАЛИТЬ ТВОЮ МАШИНУ. ДА, ДАЖЕ БЕЗ ВРЕДОНОСНОГО КОДА

МЕНЮ


Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей

ТЕМЫ


Новости ИИРазработка ИИВнедрение ИИРабота разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика

Авторизация



Народ, вот это находка недели - команда 0DIN из Mozilla продемонстрировала атаку, где ИИ-агент сам, добровольно, компрометирует машину разработчика. И самое дикое - репозиторий чист как слеза, никакого malware, подозрительных команд или пейлоадов внутри нет.

Социальная инженерия для ИИ, а не для человека

Атака нацелена на агентов типа Claude Code и другие coding-ассистенты. Разработчику достаточно попросить агента инициализировать проект из репозитория - дальше всё разворачивается автоматически.

Цепочка из трёх шагов индирекции:

- README выглядит абсолютно нормально, стандартная инструкция pip3 install -r requirements.txt

- Python-пакет специально спроектирован падать с ошибкой при первом запуске и предлагать выполнить команду инициализации вроде python3 -m axiom init

- Эта команда дёргает shell-скрипт, который резолвит DNS TXT-запись, контролируемую атакующим, достаёт оттуда base64-пейлоад и пайпит его прямо в bash

Итоговый пейлоад - реверс-шелл - физически отсутствует в репозитории, на диске или в открытом сетевом трафике. Он живёт в DNS-записи и может подмениться в любой момент без единого изменения в коде проекта.

Почему сканеры и ревьюеры молчат:

Исследователи 0DIN сформулировали это красиво: "Claude Code никогда не решал открыть шелл. Он решал исправить ошибку". Каждый отдельный слой цепочки выглядит абсолютно безобидно - статический анализ видит только обычный DNS-запрос, а ИИ-инструмент просто восстанавливается после ожидаемой ошибки, как его и просили.

Что получает атакующий на выходе:

Интерактивный шелл с правами разработчика - то есть доступ к переменным окружения, API-ключам, токенам и локальным конфигам. Плюс возможность закрепиться бэкдором и остаться в системе даже после завершения сессии.

Лайфхаки для защиты:

1. Никогда не доверяй "чистому" репозиторию по умолчанию - чистота на GitHub ничего не гарантирует

2. Требуй от ИИ-агента полное раскрытие цепочки команд перед выполнением, включая динамически подгружаемые скрипты

3. Мониторь DNS-запросы своих dev-окружений - если видишь резолвинг TXT-записей во время "обычной установки", это красный флаг

4. Не запускай агентские тулзы с полными правами разработчика на боевой машине - sandbox или контейнер решают

Мой взгляд как хакера: пока атака - только PoC, но векторы распространения уже прописаны - фейковые вакансии, туториалы, статьи в блогах, личка. WAF и антивирусы тут бессильны, потому что каждый кусочек цепочки по отдельности легален. Это новый уровень supply-chain атак - не через код, а через доверие ИИ-агента к процессу восстановления после ошибки.

Обфускация теперь живёт не в файле, а в DNS ? Ребята из Mozilla, зафиксировали проблему раньше, чем её начали эксплуатировать в дикой природе.


Телеграм: t.me/ainewsline

Источник: vk.com

Комментарии: