Agentes de codificação de IA podem ser enganados a instalar malware por meio de repositórios ‘limpos’ do GitHub, revela equipe 0din da Mozilla sobre a exploração da Claude Code.

Cuidado com Ataques Maliciosos ao usarem IA

Pesquisadores do Mozilla 0din descobriram uma vulnerabilidade interessante: é possível enganar Claude, uma ferramenta de IA amplamente utilizada, para rodar malware de maneira camuflada ao pedir que inicie um projeto de um repositório aparentemente limpo no GitHub.

Nesse cenário, um atacante assume o controle da conta do desenvolvedor, podendo acessar segredos, chaves de API, códigos, documentos e senhas. A situação se agrava ainda mais com a possibilidade de instalar malware adicional, garantindo acesso permanente. É importante ressaltar que muitos bots são suscetíveis a esse tipo de ataque, e Claude é frequentemente escolhido para tarefas de programação.

Como Funciona

Um desenvolvedor pode ser induzido a inicializar um projeto a partir de um repositório criminoso. O repositório, disfarçado, possui apenas alguns arquivos de estrutura, sem nada que desperte suspeitas de ferramentas de segurança, seja remota, local ou mesmo as verificações do Claude.

Claude irá clonar o repositório, processando um arquivo “readme” ou um arquivo Markdown que descreve a configuração de um ambiente Python com o pacote Axiom, conhecido por suas funções de monitoramento. Nesse ponto, tudo parece legítimo. No entanto, um script fictício de inicialização do Axiom gerará um erro na primeira execução. Para resolver isso, Claude executa outro comando aparentemente inofensivo para inicializar o Axiom: “python3 -m axiom init”.

Esse comando ativa um script que baixa um software, uma operação comum que não levanta suspeitas. O verdadeiro truque está no fato de que, em vez de baixar de uma URL maliciosa que poderia ser escaneada, o script lê os registros de texto DNS de um domínio específico, neste caso, “_axiom-config.m100.cloud”. Essa abordagem parece legítima, já que serviços de e-mail, por exemplo, dependem extensivamente de registros TXT.

O Resultado

O registro TXT contém uma string codificada (base64) que abre uma reverse shell, permitindo que o atacante controle o computador da vítima. Assim, eles podem acessar tudo o que o usuário tem à disposição e executar softwares como se fossem o próprio usuário. Enquanto isso, Claude e a vítima veem apenas uma mensagem de “Ambiente pronto”.

Esse método é uma série de três passos discretos, nenhum dos quais parece fora do comum. Ferramentas de segurança raramente sinalizariam o repositório, e a atividade, exceto pela abertura da shell remota, não aparenta ser estranha. Embora ambientes corporativos com acesso de rede rigorosamente controlado possam detectar tal atividade, a maioria dos desenvolvedores não opera nesses ambientes. Vale destacar que essa implementação é apenas um exemplo de um conceito que pode ser aplicado de maneiras ainda mais complexas.

A equipe do 0din conclui seu relatório com um alerta: desenvolvedores não devem confiar cegamente em projetos desconhecidos como códigos confiáveis e, evidentemente, não devem depositar confiança nos próprios ferramentas de IA para análises de segurança. Além disso, os usuários devem fazer uma inspeção cuidadosa do que realmente será executado e como, em vez de seguir instruções sem questionar.