AI coding agent vulnerabili a malware tramite repository GitHub apparentemente sicuri
Il team 0din di Mozilla dimostra come Claude Code possa essere ingannato nell’installare malware da repository di aspetto legittimo.
Una recente ricerca del team 0din di Mozilla ha evidenziato gravi vulnerabilità nei coding agent AI, come Claude Code, che possono essere ingannati nell’eseguire malware proveniente da repository GitHub apparentemente innocui.
Il metodo sfrutta tre fasi di indirection che mascherano attività malevole dietro operazioni comuni e insospettabili. Un repository, privo di segnali evidenti per i tool di sicurezza, contiene file di scaffolding e istruzioni legittime per l’inizializzazione di un ambiente Python tramite il pacchetto Axiom. Tuttavia, uno script manipolato induce l’agente AI a lanciare un comando ulteriore che, grazie alla lettura di record DNS TXT di un dominio specifico, scarica e decodifica una reverse shell.
Questo consente a un attaccante di ottenere il controllo completo sull’account del developer, accedendo a segreti, API key, codice, password e sessioni, oltre a poter installare altro malware. La tecnica sfrutta la tendenza degli agenti AI ad agire in modo “utile”, eseguendo step automatici senza un’analisi profonda dei comandi realmente lanciati.
Gli esperti raccomandano di non fidarsi mai ciecamente di codice proveniente da repository sconosciuti e di non delegare la sicurezza agli agenti AI. Gli agenti dovrebbero valutare nel dettaglio le azioni che stanno per eseguire, anziché seguire passivamente le istruzioni.
