VCLVibe Coding LabИИ в работе — без VPN
Подписаться
НейросетиНовостиСтатус нейросетейДоступ из РФ
РАЗДЕЛЫ
ТуториалыАвтоматизацииИнструментыВайбкодинг
БИБЛИОТЕКИ
ПромптыШаблоныMCP-серверыГлоссарийПодписаться в Telegram
ГлавнаяНовостиАтака на Claude Code: безобидный репозиторий открывает хакеру доступ к машине разработчика
НовостьНовостьClaude

Атака на Claude Code: безобидный репозиторий открывает хакеру доступ к машине разработчика

VCL
Редакция
Vibe Coding Lab
29 июня 2026обновлено 29.06
3 мин чтения
КОРОТКО

Исследователи Mozilla 0Din продемонстрировали атаку на Claude Code: вредоносные инструкции спрятаны не в коде репозитория, а в DNS TXT-записи. Claude Code следует им при установке, открывая обратный shell на машине разработчика. Payload нигде не хранится в открытом виде и может меняться в любой момент.

Исследователи из команды Mozilla 0Din опубликовали разбор атаки, при которой Claude Code - AI-агент Anthropic для написания и запуска кода - становится инструментом захвата машины разработчика. Репозиторий при этом выглядит полностью легитимно.

Как работает атака

Атакующий создаёт обычный репозиторий с инструкциями по установке. Никакого вредоносного кода там нет - статический анализ ничего не найдёт.

Когда разработчик клонирует репозиторий и просит Claude Code «запустить проект», агент следует инструкциям из setup-файлов. На одном из шагов Python-пакет намеренно падает с ошибкой: Run: python3 -m axiom init. Claude Code видит сообщение об ошибке и послушно выполняет команду для её исправления.

Команда init вызывает скрипт setup.sh. Тот забирает значение из DNS TXT-записи, декодирует его из base64 и выполняет как команду. Результат - интерактивный shell на машине разработчика.

Почему это сложно обнаружить

Полезная нагрузка никогда не хранится в репозитории. Она живёт в DNS TXT-записи и может быть изменена в любой момент.

«DNS-значение закодировано в base64, поэтому сигнатура reverse shell нигде не появляется в открытом виде - ни на диске, ни в трафике», - объясняют исследователи.

Атака разделена на три слоя, которые никогда не анализируются вместе:

  • репозиторий выглядит чистым
  • сетевой мониторинг видит только DNS-запрос
  • Claude Code видит легитимный шаг установки

«Reverse shell находится в трёх шагах косвенности от того, что Claude Code реально оценивал: сообщение об ошибке, которому он доверял; скрипт, который забрал значение; и DNS-запись, которую он никогда не видел», - пишут исследователи Mozilla.

Что происходит после открытия shell

Получив интерактивный доступ к машине, атакующий может:

  • вытащить credentials, API-ключи и токены
  • установить бэкдор для постоянного доступа после закрытия сессии

При этом разработчик не получает никаких уведомлений о выполнении кода.

Как распространяется атака

Мозиллаевцы отмечают, что ссылку на репозиторий можно распространять через вакансии, туториалы или личные сообщения. Под удар попадают все, кто откроет репозиторий через Claude Code.

Что это значит

Если ты используешь Claude Code для работы с чужими репозиториями - будь осторожен с теми, что пришли из незнакомых источников: вакансий на джоб-бордах, туториалов из незнакомых Telegram-каналов, DM от малознакомых людей.

Ключевой момент: вредоносного кода в репозитории нет, поэтому привычная проверка git diff или линтер ничего не покажут. Атака эксплуатирует доверие агента к сообщениям об ошибках - стандартное поведение, которое разработчики сами ожидают от AI-ассистента.

Пока Anthropic не опубликовала патч или официальный ответ - в источнике эта информация не приводится.

Источник: Ionut Arghire, SecurityWeek, 29 июня 2025


FAQ

Работает ли атака, только если запустить Claude Code с правами sudo? В источнике это не уточняется. Shell открывается от имени текущего пользователя - этого достаточно, чтобы украсть токены и ключи из домашней директории.

Можно ли защититься, отключив выполнение shell-команд в Claude Code? Атака использует штатное поведение агента при установке пакетов. Конкретных mitigation в источнике не приведено.

Это проблема только Claude Code или других AI-агентов тоже касается? Исследователи описывают атаку именно на Claude Code, но логика - доверие агента к сообщениям об ошибках - потенциально применима к любому агенту, который автоматически «чинит» ошибки установки.

Securityweek · 29 июня
Свежие новости — в Telegram
Главное за день — коротко, без воды.
Подписаться