Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Trucos en repositorios limpios de GitHub engañan a agentes de IA para ejecutar malware


Investigadores de Mozilla (0DIN) advierten que herramientas de IA como Claude Code pueden ejecutar código malicioso sin detectarlo al intentar "corregir" errores en repositorios de GitHub aparentemente inofensivos. El ataque utiliza una cadena de pasos indirectos y registros DNS para instalar un shell interactivo, otorgando al atacante acceso total a los privilegios del desarrollador. Para evitarlo, sugieren que los agentes de IA revelen la cadena completa de ejecución de los comandos de configuración.



Una herramienta de codificación agentica encargada de ejecutar un repositorio de GitHub aparentemente benigno podría ejecutar un carga útil maliciosa que es invisible tanto para los agentes de seguridad como para los revisores humanos.

Los investigadores de la plataforma de seguridad de IA Zero Day Investigative Network (0DIN) de Mozilla afirman que el compromiso ocurre "sin código de exploit, sin advertencia, sin comandos sospechosos que alguien tuviera que aprobar".

Demostraron cómo un atacante podría plantar una shell interactiva en el dispositivo de un desarrollador utilizando Claude Code para ejecutar un proyecto clonado sin código malicioso en el repositorio.

El nuevo método de ataque se basa en tres componentes que, por separado, no representan ninguna amenaza y no despiertan sospechas:

1. Un repositorio de GitHub de apariencia limpia con instrucciones de configuración estándar, como la instalación de dependencias y la inicialización del proyecto (por ejemplo, pip3 install -r requirements.txt, python3 -m axiom init)
2. El paquete de Python está diseñado intencionalmente para rechazar la ejecución hasta que haya sido inicializado; genera un error que indica al usuario que ejecute python3 -m axiom init. Claude Code trata esto como un problema de configuración normal y ejecuta automáticamente el comando sugerido mientras intenta recuperarse del error
3. La ejecución de python3 -m axiom init llama a un script de shell que recupera el valor de configuración almacenado en un registro DNS TXT controlado por el atacante, el cual se ejecuta como un comando

Los investigadores de 0DIN explican que este enfoque no requiere ningún componente malicioso en el repositorio clonado, y el agente automatiza toda la cadena de ataque, incluyendo un paso que imita un error común del usuario.

Si tiene éxito, el atacante obtendría una shell ejecutándose con los privilegios del desarrollador, dándole acceso a variables de entorno, claves de API, archivos de configuración local y la oportunidad de establecer persistencia.

“Claude Code nunca decidió abrir una shell. Decidió corregir un error. La shell inversa está a tres pasos de indirección de cualquier cosa que Claude Code evaluara realmente: un mensaje de error en el que confiaba, un script que buscaba un valor y un registro DNS que nunca vio”, afirman los investigadores de 0DIN [0din.ai].

“El atacante ahora tiene una shell interactiva ejecutándose como el propio usuario del desarrollador”.

Aunque el método de ataque es actualmente solo un concepto, 0DIN advierte que los actores de amenazas podrían distribuir fácilmente tales repositorios de GitHub a través de ofertas de trabajo falsas, tutoriales, publicaciones en blogs o mensajes directos.

Para evitar tal explotación, 0DIN sugiere que los agentes de IA deberían divulgar la cadena completa de ejecución de los comandos de configuración, incluidos los scripts y el código obtenidos dinámicamente en tiempo de ejecución.

Fuente:
BleepingComputer

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.