Mozilla dévoile un malware invisible via GitHub et l'IA

Résumé

Des chercheurs de Mozilla 0DIN démontrent qu’un dépôt GitHub sans code malveillant visible peut, via Claude Code et un script d’installation, ouvrir un shell distant et compromettre une machine.

Les faits

Des chercheurs en sécurité de la plateforme 0DIN de Mozilla ont mis en évidence une nouvelle chaîne d’attaque visant directement les machines des développeurs utilisant des outils de programmation assistés par IA comme Claude Code. Selon leur démonstration, un dépôt GitHub d’apparence parfaitement normale suffit à déclencher la compromission dès que l’agent IA est chargé d’exécuter sa procédure d’installation. L’attaque repose sur un script de configuration présent dans le dépôt, qui récupère à l’exécution une commande à partir d’une entrée DNS, puis l’exécute. Le code malveillant n’existe donc jamais dans le dépôt lui‑même : il est uniquement chargé à runtime via la requête DNS, ce qui le rend invisible pour les scanners, pour les revues de code classiques, mais aussi pour l’agent IA chargé de la mise en place du projet. Les chercheurs insistent sur le fait que le dépôt reste « normal‑looking » et ne contient aucun payload explicite. Dans le scénario décrit, Claude Code rencontre un message d’erreur routinier pendant la phase de setup, lance automatiquement le script de récupération, puis ouvre un reverse shell vers l’attaquant. À partir de ce shell, l’attaquant peut dérober des clés API, des identifiants de connexion et maintenir un accès persistant à la machine de développement. La compromission peut ainsi être déclenchée par un simple lien de dépôt GitHub partagé dans une offre d’emploi, un tutoriel ou un message Slack, dès qu’il est ouvert et initialisé via un outil de codage IA. Les chercheurs de 0DIN formulent deux recommandations immédiates : les agents IA devraient afficher le contenu des scripts d’installation avant de les exécuter, et les développeurs doivent considérer par défaut que toute instruction de setup provenant d’un dépôt tiers équivaut à du code non fiable. Cette posture de méfiance est présentée comme essentielle pour réduire l’exposition aux attaques par injection indirecte de prompts et aux charges malveillantes récupérées dynamiquement hors du dépôt.

Pourquoi c’est important

Cette démonstration de 0DIN met en lumière un vecteur d’attaque inédit dans la chaîne de développement logiciel, qui exploite précisément l’automatisation des tâches de setup par les agents IA. En s’appuyant sur des scripts d’installation et sur la résolution DNS plutôt que sur un exploit classique, les attaquants contournent les défenses qui se concentrent sur le contenu du dépôt, tout en bénéficiant du comportement « auto‑réparateur » des assistants de codage. Au‑delà de Claude Code, l’étude alerte sur un risque structurel pour tous les outils de programmation pilotés par IA : la tendance à déléguer la configuration de projets et la gestion des erreurs ouvre la voie à des injections indirectes de prompts capables de livrer un reverse shell sans jamais exposer le code malveillant dans le référentiel. La recommandation de traiter les scripts de setup de dépôts tiers comme du code non fiable et d’exiger une transparence systématique sur ce qui va être exécuté pourrait rapidement devenir une nouvelle norme de sécurité dans les équipes de développement.

Questions fréquentes

Quel est le rôle de Claude Code dans cette attaque démontrée par Mozilla 0DIN ?

Claude Code exécute le setup du dépôt GitHub, déclenche le script de récupération DNS et ouvre un reverse shell vers l’attaquant.

Pourquoi le malware reste‑t‑il invisible dans le dépôt GitHub ?

Le code malveillant est chargé à runtime via une requête DNS et n’est jamais présent directement dans le dépôt, ce qui le rend invisible aux scanners.

Que peut faire l’attaquant une fois le reverse shell ouvert sur la machine du développeur ?

Il peut récupérer des clés API, des identifiants de connexion et maintenir un accès persistant à l’environnement du développeur.

Comment un simple lien de dépôt peut‑il suffire à compromettre une machine ?

Un dépôt apparemment normal contenant un script de setup malveillant peut compromettre la machine dès qu’il est ouvert avec un outil de codage IA.

Quelles mesures de protection recommandent les chercheurs de Mozilla 0DIN ?

Afficher le contenu des scripts d’installation avant exécution et considérer les instructions de setup de dépôts tiers comme du code non fiable.

Source

Auteur

Rédaction spécialisée dans la veille et l'analyse de l'actualité de l'intelligence artificielle, des puces IA, des robots, des agents IA et de la recherche.