Un dépôt GitHub anodin peut piéger les agents de code IA et exécuter un malware

Une nouvelle technique d'attaque ciblant les outils de codage assisté par intelligence artificielle vient d'être exposée par des chercheurs en sécurité. Andre Hall et Miller Engelbrecht, membres du Zero Day Investigative Network de Mozilla (0DIN), ont conçu une preuve de概念 qui permet de compromettre entièrement un poste de travail à partir d'un dépôt GitHub en apparence irréprochable.

Un code propre qui cache une charge malveillante

Le principe repose sur une injection de prompt indirecte. Le dépôt présenté sur GitHub affiche des instructions d'installation classiques, identiques à celles de milliers de projets légitimes. L'utilisateur est invité à exécuter deux commandes, par exemple un clonage suivi d'un « npm install » ou d'un « pip install ». Le code source du paquet lui-même ne contient rien de suspect : une revue manuelle ou automatisée n'y détecte aucune alerte.

La malveillance se déclenche au moment de l'exécution. L'agent de codage IA, comme Claude Code (Anthropic), Cursor ou encore Gemini CLI (Google), lit les messages d'erreur produits par le script d'installation et tente de les corriger de manière autonome. Or, ces messages d'erreur sont conçus pour pousser l'agent à exécuter une commande de récupération d'une charge utile cachée. Celle-ci n'est pas stockée dans le dépôt, mais extraite d'un enregistrement DNS contrôlé par l'attaquant.

Une chaîne d'attaque en poupées russes

Les chercheurs qualifient cette technique de « poupées russes » : aucun des trois composants de l'attaque pris isolément ne déclenche d'alerte. Ce n'est qu'au moment où l'agent IA exécute le script de configuration, puis télécharge et lance le code malveillant depuis le DNS, que la machine est compromise. L'opération contourne les analyses statiques traditionnelles et échappe à la plupart des systèmes de surveillance réseau, puisque le flux DNS est généralement autorisé.

La démonstration publiée par 0DIN montre qu'un accès shell complet au poste de la victime est obtenu par ce biais. Les chercheurs précisent que la vulnérabilité n'est pas propre à Claude Code : tout agent IA disposant de capacités d'exécution de commandes shell peut être exploité de la même manière. Les outils Cursor et Gemini CLI sont également concernés.

Des mesures de protection à plusieurs niveaux

Pour se prémunir contre cette menace, les chercheurs recommandent trois approches complémentaires. La première consiste à toujours lire les scripts avant de les exécuter, ou à les lancer dans un conteneur jetable sans accès aux données sensibles. La deuxième utilise le hook « PreToolUse » spécifique à Claude Code, qui permet de bloquer les schémas de type « fetch-and-execute ». La troisième, la plus robuste, préconise d'isoler complètement l'agent IA dans un conteneur dépourvu d'accès aux clés API, aux secrets et aux fichiers personnels.

Cette démonstration rappelle que la confiance accordée aux assistants de codage peut être exploitée par des attaquants. Alors que l'utilisation de tels outils se généralise dans le développement logiciel, la vigilance reste de mise, même face à des dépôts dont le code semble parfaitement propre.