Клод Код обнаружил бэкдор вредоносного ПО в репозитории GitHub во время технического аудита

Claude Code был использован для проведения аудита безопасности репозитория GitHub перед выполнением, что предотвратило потенциальное заражение вредоносным ПО. Разработчику написали в LinkedIn по поводу контрактной работы в финтех-стартапе с использованием ИИ и пригласили ознакомиться с их MVP на GitHub перед звонком.
Запрос и процесс аудита
Разработчик открыл репозиторий в VS Code и использовал этот запрос с Claude Code:
"Вы проводите технический аудит due diligence этой кодовой базы. Дайте мне максимально честную оценку. Проверьте полноту проекта, AI/ML-слой, базу данных, аутентификацию, бэкенд-сервисы, фронтенд, качество кода и оценку трудозатрат. Будьте конкретны. Ссылайтесь на фактические имена файлов. Не приукрашивайте."
Критические находки
Claude Code выявил несколько проблем безопасности и целостности:
- Бэкдор удаленного выполнения кода: Обнаружен в
src/server/routes/auth.js. Каждый раз при выполненииnpm run devон незаметно обращается к удаленному URL и выполняет любой возвращенный код с полным доступом к системе (файловая система, сеть, процессы). Выполнение происходит незаметно с подавлением ошибок. - Фейковая реализация базы данных: Пользователи хранились в простом массиве, который сбрасывается при каждом перезапуске вместо реальной базы данных.
- Отсутствие AI/ML-функциональности: Репозиторий содержал только жестко закодированные тестовые данные с базовой логикой на основе правил, несмотря на заявления в README о машинном обучении, NLP и прогнозной аналитике.
- Обман во фронтенде: Фронтенд незаметно переключается на фейковые данные при каждой ошибке API, делая демонстрации отполированными независимо от фактической функциональности.
Контекст социальной инженерии
Атака была нацелена на разработчиков, фрилансеров и агентства, приглашенных для ознакомления или участия в репозиториях в рамках процессов найма или контрактов. Социальная инженерия была отполирована профессиональными сообщениями в LinkedIn, убедительной документацией в README и привлекательными ставками ($60–$100/час удаленный контракт). Репозиторий выглядел легитимным и был разработан для поощрения немедленного выполнения.
Рекомендуемые практики безопасности
- Никогда не запускайте неизвестный репозиторий без предварительного аудита
- Используйте Claude Code для сканирования репозиториев перед выполнением (аудит занял один запрос)
- Ищите замаскированные шаблоны выполнения перед запуском
npm run dev - Будьте подозрительны к репозиториям, где установка запускает автоматические скрипты
Разработчик сообщил, что Claude Code теперь стал стандартным шагом в его процессе онбординга для каждого нового клиентского репозитория. После того как разработчик поделился находками с контактом из LinkedIn, тот немедленно заблокировал его.
📖 Read the full source: r/ClaudeAI
👀 Смотрите также

Потенциальный инцидент безопасности Claude: самоотправленные оповещения о паролях и подозрительный процесс .NET
Пользователь сообщает о получении подозрительных уведомлений о сбросе пароля, которые, по-видимому, были отправлены с его собственного аккаунта после входа в Claude. Письма исчезли через несколько минут, а необычный процесс .NET заблокировал завершение работы системы.

Безопасность ИИ-агентов: от взлома до злоупотребления инструментами и инъекции промптов
ИИ-агенты, которые просматривают веб-страницы, выполняют команды и запускают рабочие процессы, сталкиваются с рисками безопасности из-за инъекции промптов и неправильного использования инструментов, когда недоверенный контент перенаправляет легитимные инструменты, такие как выполнение команд оболочки и HTTP-запросы.

MCP Sandbox: Запускайте MCP-серверы в изолированных контейнерах без необходимости им доверять
Разработчик создал MCP Sandbox, который запускает MCP-серверы в изолированных контейнерах gVisor с политикой запрета сетевого доступа по умолчанию и безопасным внедрением секретов, а также предварительным сканированием на уязвимости CVE и проверкой паттернов.

Изоляция AI-агентов с помощью WebAssembly: нулевое доверие по умолчанию
Cosmonic утверждает, что традиционная изоляция (seccomp, bubblewrap) не подходит для AI-агентов из-за фоновых полномочий. Модель на основе возможностей WebAssembly предоставляет нулевые полномочия по умолчанию, требуя явного импорта для файловой системы, сети или учетных данных.