Agen pengkodean AI dapat ditipu untuk menginstal malware melalui repositori GitHub yang ‘bersih’ — tim 0din Mozilla menunjukkan bagaimana Claude Code dapat dieksploitasi dengan kegunaannya sendiri
“Berpikir di luar kotak” dilukiskan pada jutaan poster motivasi di seluruh dunia, sebuah pesan yang menarik bagi para manajer menengah dan menarik perhatian sebagian besar orang. Namun itulah yang dilakukan para peneliti di Mozilla 0din, dengan mengelabui Claude agar menjalankan malware secara tidak langsung namun terlihat sederhana, hanya dengan memintanya untuk menginisialisasi proyek dari repositori GitHub yang tampak bersih. Seorang penyerang kemudian akan memiliki kendali atas akun pengembangnya sendiri, mengakses semua rahasia, kunci API, kode, dokumen, sesi browser, dan kata sandi mereka. Mereka bahkan dapat memasang malware tambahan untuk mempertahankan akses permanen. Bisa dikatakan, hampir setiap agen bot rentan terhadap jenis serangan ini, meskipun Claude adalah pilihan default untuk tugas pemrograman. Begini cara kerjanya. Yang harus dilakukan pengembang korban hanyalah memberi tahu Claude untuk menginisialisasi proyek dari repositori GitHub yang berbahaya (atau memintanya untuk mengonfigurasinya setelah mengkloningnya sendiri). Repo tersebut terlihat cukup bersih, hanya dengan sedikit file perancah, dan yang paling penting, tidak ada yang akan memicu alat keamanan, baik jarak jauh, lokal, atau bahkan pemeriksaan Claude sendiri. Video Terbaru FromClaude akan mengkloning repo tersebut. File pertama yang akan diproses adalah file “readme” atau Markdown yang menjelaskan cara menginisialisasi lingkungan Python dengan paket Axiom, alat pemantauan yang umum digunakan. Sejauh ini, hal ini tampaknya sah-sah saja. Namun, ada skrip startup Axiom palsu yang akan error saat pertama kali dijalankan. Ini adalah langkah pertama yang menipu kotak tersebut, karena agar dapat membantu dan menyelesaikan masalah, ia akan menjalankan perintah lain yang tampak tidak berbahaya untuk menginisialisasi Axiom: “python3 -m axiom init”. Ini kemudian memicu skrip shell yang mengunduh sedikit perangkat lunak untuk dijalankan, operasi standar lain yang tidak akan membuat Anda terkejut. Namun trik kedua adalah alih-alih mengunduh dari URL berbahaya yang dapat dipindai, skrip membaca catatan teks DNS dari domain tertentu — dalam hal ini, domain “_axiom-config.m100.cloud”. Ini juga terlihat cukup halal, misalnya email dan alat konfigurasinya sangat bergantung pada data TXT. Anda mungkin menyukai Catatan TXT tersebut berisi string yang disandikan (base64) yang hanya membuka shell terbalik, yang berarti ia akan membuka shell di mesin pengguna, namun dialihkan ke server penyerang untuk masukan. Pada titik ini, pelaku kejahatan dapat mengambil segala sesuatu yang dapat diakses oleh pengguna dan melanjutkan untuk menjalankan perangkat lunak sebagai pengguna. Sementara itu, semua yang dilihat Claude dan korbannya hanyalah pesan “Lingkungan siap” atau sejenisnya. Jika Anda sudah menghitung, ini adalah tiga langkah tipuan, tidak ada satupun yang secara terpisah terlihat seperti sesuatu yang luar biasa. Sangat sedikit (jika ada) alat pemindaian keamanan yang akan menandai repositori, dan tidak ada satu pun aktivitas, kecuali pembukaan shell jarak jauh, bahkan yang terlihat sangat aneh. Lingkungan perusahaan dengan akses jaringan yang dikontrol sangat ketat dapat menangkap hal ini, namun hal tersebut bukanlah tempat dimana sebagian besar pengembang beroperasi. Perlu juga ditekankan bahwa implementasi khusus ini hanyalah salah satu contoh konsep yang dapat diterapkan pada metode yang lebih tidak langsung dan rumit. Dapatkan berita terbaik dan ulasan mendalam dari Tom’s Hardware, langsung ke kotak masuk Anda. Tim 0din menyimpulkan laporannya dengan menyatakan hal yang cukup jelas: bahwa pengembang tidak boleh begitu saja memercayai proyek yang tidak dikenal sebagai kode tepercaya, dan tentu saja, tidak memercayai alat AI itu sendiri untuk tujuan analisis keamanan. Sedangkan untuk agennya sendiri, 0din menyatakan bahwa mereka perlu memeriksa apa yang sebenarnya akan berjalan dan bagaimana caranya, bukan hanya mengikuti langkah-langkah. Ikuti Tom’s Hardware di Google Berita, atau tambahkan kami sebagai sumber pilihan, untuk mendapatkan berita, analisis, & ulasan terkini di feed Anda.
Diterbitkan : 2026-06-28 11:30:00
sumber : www.tomshardware.com
