Nel panorama della sicurezza informatica, una nuova minaccia emerge all’orizzonte. Strumenti di codifica automatizzati, progettati per semplificare il lavoro dei developer, possono essere sfruttati per eseguire payload dannosi senza essere rilevati da scanner di sicurezza, agenti AI o revisori umani.
Questa vulnerabilità, identificata dai ricercatori della piattaforma di sicurezza AI di Mozilla, Zero Day Investigative Network (0DIN), rappresenta un nuovo fronte nella guerra contro le minacce informatiche. L’attacco avviene senza exploit code, senza avvertimenti, senza comandi sospetti da approvare.
Il meccanismo dell’attacco
I ricercatori hanno dimostrato come un attaccante possa installare un guscio interattivo sul dispositivo di uno sviluppatore utilizzando Claude Code per eseguire un progetto clonato privo di codice dannoso nel repository. Questo nuovo metodo di attacco si basa su tre componenti, ognuna delle quali, separatamente, non rappresenta alcuna minaccia e non desta sospetti.
Il primo componente è un repository GitHub dall’aspetto pulito con istruzioni di configurazione standard, come l’installazione delle dipendenze e l’inizializzazione del progetto. Il secondo componente è un pacchetto Python progettato per rifiutare l’esecuzione fino a quando non è stato inizializzato; genera un errore che istruisce l’utente a eseguire il comando python3 -m axiom init. Claude Code tratta questo come un problema di configurazione normale e esegue automaticamente il comando suggerito mentre tenta di risolvere l’errore.
Eseguire python3 -m axiom init chiama uno script shell che recupera il valore di configurazione memorizzato in un record DNS TXT controllato dall’attaccante e lo esegue come comando. I ricercatori di 0DIN spiegano che questo approccio non richiede componenti dannose nel repository clonato e l’agente automatizza l’intera catena di attacco, inclusa una fase che simula un errore comune dell’utente.
Le conseguenze dell’attacco
Se l’attacco ha successo, l’attaccante ottiene un guscio con i privilegi dello sviluppatore, dando accesso a variabili d’ambiente, chiavi API, file di configurazione locali e l’opportunità di stabilire una presenza persistente. Claude Code non ha deciso di aprire un guscio. Ha deciso di risolvere un errore. Il reverse shell è tre passaggi di indirezione lontani da qualsiasi cosa Claude Code abbia effettivamente valutato: un messaggio di errore di cui si fidava, uno script che ha recuperato un valore e un record DNS che non ha mai visto.
I ricercatori di 0DIN affermano che l’attaccante ora ha un guscio interattivo in esecuzione come utente dello sviluppatore stesso.
Prevenzione e consigli
Mentre il metodo di attacco è attualmente solo un concetto, 0DIN avverte che gli attori delle minacce potrebbero facilmente distribuire tali repository GitHub attraverso offerte di lavoro false, tutorial, post di blog o messaggi diretti. Per prevenire tali sfruttamenti, 0DIN suggerisce che gli agenti AI dovrebbero divulgare l’intera catena di esecuzione dei comandi di configurazione, inclusi script e codice recuperati dinamicamente in tempo di esecuzione.
In un mondo in cui la sicurezza informatica è in continua evoluzione, è fondamentale che gli sviluppatori e le organizzazioni siano consapevoli di queste nuove minacce e adottino misure proattive per proteggere i loro sistemi e dati.
