Repositório limpo no GitHub engana agentes de desenvolvimento de IA para executar malware

30 de junho de 2026

Resumo

Pesquisadores da Mozilla 0DIN demonstraram uma prova de conceito na qual uma ferramenta de desenvolvimento baseada em agentes, como o Claude Code, clona um repositório do GitHub aparentemente limpo com instruções comuns de configuração (pip3 install -r requirements.txt, python3 -m axiom init). Um pacote Python deliberadamente plantado se recusa a rodar até ser inicializado, emitindo um erro que induz o agente a executar python3 -m axiom init de forma autônoma como uma rotina de recuperação de falhas. Essa ação executa um shell script que busca um valor controlado por um invasor em um registro DNS TXT e o executa como comando. Nenhum código malicioso reside diretamente no repositório e nenhuma etapa isolada aciona alertas de segurança, pois o reverse shell fica protegido por três camadas de indireção: uma mensagem de erro confiável, um script de busca e um registro DNS oculto. O resultado é um shell interativo com os privilégios do desenvolvedor e acesso a variáveis de ambiente, chaves de API e configurações locais para persistência.

A equipe da 0DIN, que alerta que cibercriminosos podem disseminar esses repositórios por meio de vagas de emprego falsas, tutoriais ou mensagens diretas, recomenda que os agentes de IA divulguem toda a cadeia de execução de comandos de configuração, incluindo scripts e códigos obtidos dinamicamente. Para os defensores, a recomendação é executar repositórios não confiáveis em ambientes isolados (sandboxes ou containers), bloquear o DNS outbound e o egress de rede dos agentes durante a configuração, e exigir aprovação humana para qualquer comando que direcione conteúdo externo para um shell.

Fontes

bleepingcomputer.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 30 de junho de 2026
Editoria: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?