Claude Code kwetsbaar voor malware-injecties via ‘onschuldige’ GitHub-repo’s
Steeds meer grote bedrijven laten ontwikkelaars gebruikmaken van AI-chatbots en AI-agents als Claude Code om code te schrijven en ontwikkelprocessen te versnellen. Zulke tools kunnen veel tijd besparen, maar zoals onderzoekers van het Mozilla Zero Day Investigative Network (0DIN) nu aantonen, brengen ze ook nieuwe risico’s met zich mee.
De aanval die de onderzoekers demonstreren, maakt bovendien geen gebruik van voor de hand liggende exploitcode, verdachte shellcommando’s of andere klassieke waarschuwingssignalen die ontwikkelaars normaal zouden opmerken.
Betrouwbare GitHub-pagina blijkt voldoende
In plaats daarvan wisten de onderzoekers Claude Code om de tuin te leiden met een ogenschijnlijk betrouwbare GitHub-pagina met instructies om een project op te zetten. Tijdens het uitvoeren van die stappen, waaronder het installeren van dependencies, verschijnt er een foutmelding met daarbij een commando dat het probleem zogezegd oplost.
Waar een menselijke ontwikkelaar zo’n foutmelding waarschijnlijk eerst zou analyseren en het voorgestelde commando niet zomaar zou uitvoeren, doet Claude Code dat wel. De AI-agent beschouwt het commando als een regulier onderdeel van de installatieprocedure.
Na het uitvoeren van dat commando wordt een shellscript geladen dat op zijn beurt een configuratiewaarde ophaalt uit een door de aanvaller beheerd DNS TXT-record. Die opgehaalde DNS-waarde wordt vervolgens opnieuw als commando uitgevoerd. Pas op dat moment haalt Claude Code de daadwerkelijke malware binnen via de infrastructuur van de aanvallers. Daarmee krijgen aanvallers toegang tot de gebruikersrechten van de ontwikkelaar, maar ook tot gevoelige informatie zoals API-sleutels, configuratiebestanden en authenticatiegegevens.
Die informatie kan vervolgens worden misbruikt om andere systemen binnen te dringen of gebruikersactiviteiten te monitoren via bestaande API-toegang.
Kwaadaardige code blijft volledig verborgen
Wat deze aanval bijzonder gevaarlijk maakt, is dat ontwikkelaars nauwelijks zicht hebben op wat er precies gebeurt. Zoals gezegd bevindt zich geen schadelijke code in de GitHub-repository zelf. De kwaadaardige instructies worden pas tijdens de uitvoering via DNS opgehaald, waarna Claude Code de volledige aanvalsketen zelfstandig uitvoert.
Doordat de payload niet in de repository aanwezig is, is het voor ontwikkelaars én beveiligingstools bijzonder lastig om de aanval vooraf te detecteren. Volgens Mozilla is het daardoor vrijwel onmogelijk om de techniek met traditionele controles te onderscheppen.
De onderzoekers zien wel een mogelijke oplossing: AI-agents zouden setupcommando’s eerst expliciet moeten tonen en laten goedkeuren voordat ze worden uitgevoerd.
Human-in-the-loop is niet langer optioneel
Idealiter krijgt een ontwikkelaar niet alleen de initiële commando’s te zien, maar ook scripts en code die pas tijdens runtime worden opgehaald. Vandaag ontbreekt dat inzicht vaak nog, waardoor AI-systemen onbewust schadelijke opdrachten kunnen uitvoeren.
Dat sluit aan bij het zogenaamde human-in-the-loop-principe, waarbij een menselijke gebruiker de acties van een AI-agent controleert voordat ze worden uitgevoerd. In de praktijk blijkt die controle echter niet altijd diepgaand genoeg om dit soort aanvallen te detecteren.
Organisaties die AI-agents inzetten binnen hun ontwikkelomgeving doen er daarom goed aan extra aandacht te besteden aan opleiding en bewustwording bij IT-personeel. Uiteindelijk blijft de ontwikkelaar de laatste verdedigingslinie tegen malware die via AI-systemen het bedrijfsnetwerk probeert binnen te dringen.
