Pesquisadores da 0din.ai demonstraram um ataque que explora agentes de codificação baseados em IA, como o Claude Code, para obter acesso remoto a máquinas de desenvolvedores, utilizando um repositório aparentemente inofensivo. O estudo de caso, publicado no dia 25 de junho, mostra que o invasor pode executar um shell reverso sem que nenhum código malicioso esteja presente no repositório, bastando que o agente tente “colocar o projeto para funcionar”.
O ataque, criado por Andre Hall e Miller Engelbrecht, encadeia três elementos que, individualmente, não levantam suspeitas: um repositório com aparência normal, um pacote Python que falha de forma controlada ao não ser inicializado e um script de configuração que busca dinamicamente um comando de um registro DNS TXT controlado pelo atacante. Quando o agente de IA, como o Claude Code, recebe a instrução para configurar o projeto, ele lê os arquivos, tenta executar o aplicativo, encontra o erro intencional, segue a instrução de correção contida na mensagem de erro e, ao executar o script de configuração, o comando malicioso obtido via DNS é executado, estabelecendo um shell reverso.
A pesquisa destaca que o payload malicioso nunca existe no repositório, o que o torna invisível para revisões de código, scanners estáticos e para o próprio agente de IA. O registro DNS TXT, controlado pelo atacante, contém um comando codificado em base64 que, quando decodificado, executa um shell reverso. Os autores alertam que agentes de codificação com acesso a ferramentas do sistema, como execução de comandos e leitura de arquivos, criam uma superfície de ataque significativa, onde conteúdos não confiáveis, como repositórios, podem injetar instruções maliciosas.
A 0din.ai recomenda que os sistemas exponham, para o desenvolvedor, o que um comando de configuração realmente executará, incluindo scripts e qualquer dado buscado em tempo real, tratando instruções de projetos não confiáveis como código não confiável.
