Im Detail
- Angreifer verstecken Befehle in DNS-Einträgen, die von Setup-Skripten zur Laufzeit abgerufen werden – der bösartige Code existiert nie im Repository selbst und bleibt für Scanner und Code-Reviews unsichtbar.
- Claude Code führt das Setup-Skript automatisch aus, wenn ein Fehler auftritt, und öffnet eine Reverse Shell für den Angreifer, der dann API-Keys, Login-Daten und persistenten Zugriff auf die Maschine erhält.
- Ein einziger Repository-Link in einer Stellenausschreibung, einem Tutorial oder einer Slack-Nachricht reicht aus, um jeden Entwickler zu kompromittieren, der das Repo mit einem KI-Coding-Tool öffnet.
- Lösung: KI-Agenten sollten Setup-Skripte vor der Ausführung anzeigen; Entwickler sollten Third-Party-Setup-Anweisungen als untrusted Code behandeln.
Warum es zählt
Für Entwickler und Unternehmen, die KI-Coding-Tools nutzen, ist dies ein unmittelbares Sicherheitsrisiko – ein einfacher Klick auf einen präparierten GitHub-Link kann zum Diebstahl von Credentials und zum Verlust von Kontrolle über die Entwicklungsmaschine führen.
Für dich Prüfe, ob dein Team Claude Code oder ähnliche Tools nutzt, und instruiere Entwickler, GitHub-Repositories von unbekannten Quellen nicht automatisch mit KI-Agenten zu öffnen – insbesondere nicht Setup-Skripte.