Čistý githubový repozitář dokáže přimět AI agenty ke spuštění malwaru
Agentní kódovací nástroj, který dostane za úkol spustit zdánlivě neškodný GitHub repozitář, může vykonat škodlivý payload neviditelný jak pro bezpečnostní agenty, tak pro lidské recenzenty.
Výzkumníci z platformy 0DIN (AI security platforma Zero Day Investigative Network společnosti Mozilla) uvádějí, že ke kompromitaci dochází „bez exploit kódu, bez varování a bez jediného podezřelého příkazu, který by někdo musel schválit".
Předvedli, jak by útočník mohl pomocí nástroje Claude Code spustit naklonovaný projekt a podstrčit vývojáři na zařízení interaktivní shell – aniž by se v repozitáři nacházel jakýkoliv škodlivý kód.
Nová metoda útoku stojí na třech komponentách, které samostatně nepředstavují žádnou hrozbu a nevzbuzují podezření:
- čistě vypadající GitHub repozitář se standardními instrukcemi k nastavení, jako je instalace závislostí a inicializace projektu (např.
pip3 install -r requirements.txt, python3 -m axiom init); - Python balíček, který je záměrně navržen tak, aby odmítl běžet, dokud není inicializován, a vygeneruje chybu, jež uživatele instruuje ke spuštění
python3 -m axiom init. Claude Code to vyhodnotí jako běžný problém s nastavením a navrhovaný příkaz automaticky spustí ve snaze chybu vyřešit; - spuštění
python3 -m axiom initzavolá shell skript, který stáhne konfigurační hodnotu uloženou v DNS TXT záznamu ovládaném útočníkem, a ta je následně provedena jako příkaz.
Výzkumníci 0DIN vysvětlují, že tento přístup nevyžaduje žádnou škodlivou komponentu v naklonovaném repozitáři a celý řetězec útoku zautomatizuje samotný agent, včetně kroku, který napodobuje běžnou uživatelskou chybu.
Pokud je útok úspěšný, získá útočník shell běžící s oprávněními vývojáře, a tím i přístup k proměnným prostředí, API klíčům, lokálním konfiguračním souborům a možnost zajistit si perzistenci.
„Claude Code se nikdy nerozhodl otevřít shell. Rozhodl se opravit chybu. Reverzní shell je tři kroky nepřímosti vzdálený od čehokoliv, co Claude Code skutečně vyhodnocoval: chybová zpráva, které důvěřoval, skript, který stáhl hodnotu, a DNS záznam, který nikdy neviděl," říkají výzkumníci 0DIN. „Útočník teď má interaktivní shell běžící pod účtem samotného vývojáře."
Zatím jde pouze o koncept, 0DIN nicméně varuje, že útočníci by takové GitHub repozitáře mohli snadno šířit přes falešné pracovní nabídky, návody, blogové příspěvky nebo přímé zprávy. Jako obranu 0DIN doporučuje, aby AI agenti zveřejňovali celý řetězec spouštěných příkazů včetně skriptů a kódu stahovaného dynamicky za běhu.
FBI: ruští hackeři nově cílí na záložní obnovovací klíče Signalu
FBI a CISA varují, že phishingová kampaň zaměřená na uživatele Signalu a napojená na ruské zpravodajské služby byla vyvinuta tak, aby kradla záložní obnovovací klíče Signalu (Signal Backup Recovery Keys), jež útočníkům umožňují přístup k historickým zprávám obětí.
Aktualizované veřejné oznámení navazuje na březnové varování z roku 2026, které upozorňovalo, že útočníci cílí na uživatele komerčních komunikačních aplikací, zejména Signalu, prostřednictvím phishingových kampaní navržených k převzetí účtů, nikoliv k prolomení koncového šifrování.
„Aktéři kybernetické hrozby z RIS se v aktualizovaných phishingových zprávách nadále vydávají za automatizované podpůrné účty CMA, ale vyvinuli své taktiky tak, aby se pokusili vylákat z obětí jejich záložní obnovovací klíče," varuje oznámení FBI (PSA).
Podle FBI kampaň nadále cílí na osoby s vysokou zpravodajskou hodnotou, včetně současných i bývalých amerických a mezinárodních vládních činitelů, vojenského personálu, politických osobností, novinářů a klíčových představitelů na Ukrajině.
Agentury aktivitu připisují ruským zpravodajským službám (RIS), včetně důstojníků zařazených u Pohraniční stráže Federální bezpečnostní služby (FSB) a dalších aktérů jednajících jménem ruské armády. Kampaň je veřejně sledována pod označením UNC5792 a UNC4221.
Zatímco se původní varování soustředilo na phishingové zprávy, které se pokoušely ukrást ověřovací kódy nebo PINy účtů, případně nalákat uživatele k propojení útočníkem ovládaných zařízení s jejich účty na Signalu, aktualizované upozornění uvádí, že útočníci své taktiky pozměnili.
FBI uvádí, že se aktéři nadále vydávají za podpůrné týmy Signalu a posílají phishingové zprávy, jež falešně tvrdí, že Signal zavádí povinné dvoufaktorové ověření po údajné vlně útoků hackerů z Íránu a postsovětských zemí.
„Nedávno se zvýšily pokusy hacknout uživatele našeho messengeru připojením zařízení třetích stran k účtu," stojí v úvodní phishingové zprávě.
„Vyšetřování provedené společně s americkou vládou a evropskými partnery odhalilo, že útoky na účty prováděli hackeři z Íránu a postsovětských zemí. V této souvislosti Signal aktualizuje smluvní podmínky a zásady ochrany soukromí a zavádí pro uživatele povinné dvoufaktorové ověření."
„Abyste nepřišli o své zprávy a média, nastavte si zálohu Signalu (Settings → Backups → Enable backups → View recovery key → Copy to clipboard → Next → Enter the recovery key → Next → Continue → Choose your backup plan). Ve vyskakovacím okně klikněte na tlačítko „Accept" a sledujte bezpečnostní aktualizace v našem messengeru."
Když cíl tyto pokyny vykoná, jeho zprávy ze Signalu se zazálohují pomocí funkce Signal Secure Backups, která ukládá šifrované kopie konverzací na cloudové servery Signalu.
Data jsou koncově šifrována obnovovacím klíčem vytvořeným ve výše uvedených krocích a nikdy by neměla být nikomu předána – kdokoliv s tímto klíčem jej totiž může použít k obnovení zálohovaných dat na vlastních zařízeních.
Útočníci později pošlou druhou phishingovou zprávu, stále pod rouškou podpory Signalu, v níž varují, že data jsou kvůli problému se synchronizací ohrožena ztrátou.
Útočníci své oběti poté vyzvou, aby v nastavení záloh zkopírovali svůj obnovovací klíč do schránky a vložili jej do zprávy, čímž zabrání ztrátě uložených dat. Jakmile však klíč poskytnou, mohou zálohu obnovit na vlastních zařízeních a získat přístup k historickým zprávám oběti, včetně soukromých i skupinových konverzací.
Aktualizované varování upozorňuje i na scénář obnovy, který uživatelé mohou po kompromitaci účtu přehlédnout. FBI varuje, že pokud útočník získá uživatelův obnovovací klíč, vytvoření nového účtu Signal se stejným telefonním číslem starý odcizený klíč nezneplatní. Uživatelé místo toho musí v nastavení záloh vygenerovat nový obnovovací klíč, který zneplatní předchozí klíč pro budoucí stahování záloh. Agentury nicméně varují, že vygenerování nového klíče nezabrání útočníkům v přístupu k zálohám, které si pomocí kompromitovaného klíče již stáhli.
Aktualizované varování uživatelům připomíná, že legitimní podpůrné týmy komunikačních aplikací komunikují pouze přes oficiální firemní e-mailové adresy, nikdy nežádají ověřovací kódy v rámci aplikace a neposílají odkazy s výzvou k ověření či obnovení účtu.
Polsko rozbilo SIM-swapový gang spojený s krádežemi kryptoměn za miliony
Úřady v Polsku zatkly čtyři členy organizované kyberkriminální skupiny obviněné z průniků k telekomunikačním partnerům a únosů e-mailových účtů za účelem SIM-swapových útoků.
Operaci provedl polský Úřad pro boj s kyberkriminalitou (CBZC) za podpory FBI a Homeland Security Investigations (HSI) ve Spojených státech.
Podle vyšetřovatelů podezřelí prováděli sofistikované kybernetické útoky, aby získali data využívaná při SIM-swapových útocích. Unesli telefonní čísla obětí, zachytávali SMS zprávy a e-mailovou komunikaci a nakonec získali kontrolu nad účty na kryptoměnových burzách.
Odhaduje se, že tímto způsobem byly odcizeny miliony amerických dolarů, které byly následně vyprány „prostřednictvím distribuované finanční sítě".
„Pomocí specializovaného softwaru a sociálního inženýrství pachatelé získali neoprávněný přístup k infrastruktuře subjektů spolupracujících s telekomunikačními operátory a k e-mailovým účtům zaměstnanců," stojí v oznámení CBZC. „Takto získaná data umožnila tzv. SIM-swap útoky, které spočívají v nelegálním klonování a převzetí telefonních čísel obětí."
Polské úřady uvádějí, že aktéři tyto aktivity považovali za „pravidelný zdroj příjmů" a k převodu odcizených prostředků využívali řadu bankovních účtů v různých zemích a digitální peněženky.
„Odhaduje se, že celková hodnota prostředků vypraných tímto způsobem přesahuje několik desítek milionů polských zlotých," uvádí CBZC, což by podle aktuálního kurzu odpovídalo nejméně 5 milionům dolarů.
Všichni čtyři zatčení byli vzati do vyšetřovací vazby a nyní čelí obvinění z účasti v organizované zločinecké skupině, hackování IT systémů za účelem krádeže a praní špinavých peněz. Maximální trest za tyto činy je 25 let vězení.
Ačkoliv CBZC žádného ze zatčených aktérů nejmenoval, vyšetřovatel blockchainové kriminality ZachXBT identifikoval jednoho z nich jako Wojtka Kulisze alias „Merry" na základě fotografií, které úřady z policejní razie zveřejnily.
Nový macOS malware vkládá falešné chyby, aby zmátl AI nástroje
Nově objevený macOS malware přezdívaný „Gaslight" je navržen tak, aby zmátl AI-asistované nástroje pro analýzu malwaru tím, že v sobě skrývá řetězce pro prompt injection a falešná ladicí data.
Bezpečnostní výzkumníci stále častěji používají k analýze malwaru a reverznímu inženýrství nástroje poháněné umělou inteligencí. Tento malware obsahuje řetězce, které se snaží AI-asistované analytické nástroje „gaslightovat" do přesvědčení, že došlo k chybě analýzy nebo jinému problému, což může nástroje přimět k přerušení, zkrácení nebo jinému narušení analýzy.
Společnost s vysokou mírou jistoty přisuzuje malware aktérovi napojenému na Severní Koreu. Samotný malware je binárka v jazyce Rust s funkcemi backdooru a kradení informací, jaké se u podobného malwaru běžně vyskytují.
Co malware odlišuje, je payload o velikosti 3,5 KB obsahující 38 falešných „systémových" zpráv vložených přímo do binárky. Falešné zprávy se vydávají za vývojářské logy, hlášení o pádech, ladicí výstupy a programová upozornění a používají formátování Markdown a šablonové zástupné symboly, aby vypadaly jako legitimní analytická data. Mezi příklady patří vymyšlené výpisy paměti, varování o vypršení tokenu, selhání připojení k Redis, chyby build-pipeline, upozornění na SQL injection a další zprávy, které s reálným chováním malwaru nesouvisí.
Podle SentinelOne není cílem těchto falešných chyb vyhnout se spuštění uvnitř sandboxu, ale zmást AI systémy, které řetězce čtou během automatizované analýzy.
„Jejím nejpozoruhodnějším rysem je vložená kaskáda vyfabrikovaných zpráv o selhání systému, navržená tak, aby LLM-asistovaný triážní agent začal pochybovat o vlastní relaci," vysvětluje SentinelOne. „Útočí na vnímání agenta, nikoliv na sandbox, ve kterém běží. Proto tuto rodinu nazýváme macOS.Gaslight."
SentinelOne uvádí, že tyto řetězce jsou obsahem prompt injection navrženým tak, aby LLM-asistovaný analytický pipeline začal pochybovat o platnosti vlastní relace nebo odmítl pokračovat v analýze vzorku. „Scaffold obsahuje falešné systémové zprávy o vypršení tokenů, ukončeních kvůli nedostatku paměti, vyčerpání disku a opakovaných selháních operací," pokračují výzkumníci. „Také podsouvá falešná varování o zranitelnostech typu injection a příznacích statické analýzy. Cílem je dotlačit LLM agenta k přerušení, zkrácení nebo odmítnutí analýzy."
Ačkoliv SentinelOne nepředvedla, že by tato technika dokázala úspěšně obejít AI platformy pro analýzu malwaru, zjištění naznačují, že útočníci experimentují s anti-analytickými metodami navrženými konkrétně k obcházení AI-asistovaných bezpečnostních platforem.
LastPass potvrdil únik dat v rámci supply-chain útoku na Klue
LastPass oznámil, že hackeři získali přístup k zákaznickým datům z jeho prostředí Salesforce poté, co počátkem tohoto měsíce v supply-chain útoku na platformu Klue odcizili OAuth tokeny společnosti.
Platforma pro správu hesel uvádí, že její produkty, služby ani infrastruktura nebyly incidentem zasaženy a že zákaznické trezory zůstaly v bezpečí.
„Dne 12. června byl LastPass informován o incidentu, k němuž došlo u Klue (klue.com), platformy tržního zpravodajství třetí strany využívané našimi go-to-market týmy, jež se integruje s našimi systémy Salesforce a Gong," uvádí LastPass.
„Okamžitě jsme zahájili vyšetřování a zjistili, že v rámci tohoto incidentu neoprávněný aktér získal OAuth tokeny, které Klue uchovávalo pro mnoho svých zákazníků, včetně LastPassu." „Aktér hrozby pak tyto přihlašovací údaje použil k přístupu k zákaznickým datům LastPass v našem prostředí Salesforce."
Vyšetřování incidentu neodhalilo žádné důkazy, že by útočník získal přístup k datům souvisejícím s Gongem, která obvykle zahrnují zákaznické hovory a e-maily.
Podle LastPassu mohla být vystavena tato data:
- jména zákazníků
- telefonní čísla
- e-mailové adresy
- fyzické adresy
- informace o případech podpory (support cases)
- prodejní/CRM data
Útočníci mohou výše uvedené informace zneužít při phishingových útocích. Obecné doporučení pro uživatele zní obezřetně přistupovat k nevyžádané komunikaci po telefonu či e-mailu, zvláště k té, jež žádá citlivé údaje. Hlavní heslo (master password) by nemělo být s nikým sdíleno.
Supply-chain útok na Klue se přihlásila vyděračská skupina Icarus, která kompromitovala infrastrukturu této AI platformy tržního zpravodajství a odcizila OAuth tokeny propojující zákaznická prostředí Salesforce.
Hackeři Icarus získali přístup k infrastruktuře Klue pomocí kompromitovaných legacy přihlašovacích údajů k integrační službě. To jim dalo přístup k OAuth tokenům, které Klue propojovaly s různými službami třetích stran.
Incident zasáhl více organizací, včetně Recorded Future, Tanium, Jamf, Sprout Social, Gong a Insurity.
Aktér hrozby exfiltroval data z CRM (Customer Relationship Management) a spustil vyděračskou kampaň.
LastPass zablokoval zaměstnancům přístup ke Klue, rotoval vystavené API/OAuth tokeny a během probíhajícího vyšetřování informoval orgány činné v trestním řízení. Společnost rovněž varovala, že aktéři hrozby používají odesílací domény baccarat.com[.]au, robinskitchen.com[.]au a house[.]com.au, s tím, že důvěřovat by se mělo pouze komunikaci z oficiálních podpůrných kanálů.
Phishing na WhatsApp využívá falešné firemní dokumenty
Probíhající malwarová kampaň cílí na uživatele WhatsAppu ve více zemích pomocí klamavých zpráv, které podsouvají soubory VBScript vedoucí ke vzdálenému přístupu k systému.
Aktér hrozby používá názvy souborů naznačující firemní a finanční dokumenty doručené kontakty oběti, jejichž účty byly kompromitovány. Stažením a spuštěním škodlivých příloh příjemce spustí infekční řetězec, který vede k instalaci legitimního nástroje ManageEngine Endpoint Central, jejž IT administrátoři používají ke správě systémů z centralizovaného dashboardu.
Telemetrická data od bezpečnostní společnosti Kaspersky ukazují, že se kampaň šíří v Brazílii, Indii, Mexiku, Singapuru, Velké Británii, Španělsku, na Tchaj-wanu, v Austrálii, Rusku, Vietnamu a Malajsii.
Kaspersky uvádí, že útoky začínají zprávami odeslanými z kompromitovaných účtů, které neobsahují nic než silně obfuskovaný VBS soubor. Tyto soubory dostávají názvy, jež vyvolávají dojem finančních zpráv, fakturačních výpisů, oznámení o účtech a podobných dokumentů, které pravděpodobně upoutají pozornost cíle a přimějí jej soubor otevřít. Názvy souborů jsou navíc lokalizovány do více jazyků, což dále potvrzuje globální dosah kampaně.
„Na základě důkazů shromážděných od více obětí prostřednictvím hlášení na sociálních sítích a odeslaných vzorků můžeme usoudit, že aktér hrozby získal přístup k několika účtům WhatsAppu a použil je k distribuci škodlivých VBScript souborů kontaktům ze seznamů kompromitovaných uživatelů," vysvětluje Kaspersky. „V době psaní zůstává přesná metoda použitá ke kompromitaci těchto účtů WhatsAppu neznámá."
Pokud oběť soubor stáhne a otevře na Windows, VBScript stáhne z útočníkovy infrastruktury dva další skripty, které prostřednictvím úprav registru deaktivují ochrany UAC a stáhnou ZIP archiv obsahující program ManageEngine Endpoint Central. Software se na pozadí tiše nainstaluje a nakonfiguruje tak, aby se připojil k serverům pro správu ovládaným útočníkem, čímž jim na počítači oběti udělí vzdálený administrátorský přístup.
Kaspersky upozorňuje, že když je úvodní VBScript soubor doručen přes WhatsApp Web, musí se nejprve stáhnout, ale při otevření v desktopovém klientu WhatsApp jej lze spustit přímo přes Windows Script Host ( wscript.exe).
Ačkoliv Kaspersky útoky nepřisuzuje konkrétnímu aktérovi, výzkumníci našli stopy používání čínštiny a překryv infrastruktury s IP adresami dříve spojovanými s aktivitou ValleyRAT a Gh0st RAT. Důkazů pro atribuci s vysokou mírou jistoty je však nedostatek.
Uživatelům WhatsAppu se doporučuje přistupovat k souborům zasílaným kontakty – i těmi důvěryhodnými – obezřetně a vždy si je ověřit jinou cestou. Všechny stažené soubory by před spuštěním měly být zkontrolovány aktuálním antivirem.
Microsoft spojil supply-chain útok na Mastra AI se severokorejskými hackery
Microsoft přisoudil nedávný supply-chain útok na Mastra AI, který kompromitoval více než 140 npm balíčků, severokorejské hackerské skupině Sapphire Sleet, známé také jako BlueNoroff.
Atribuce přichází poté, co Microsoft začátkem tohoto týdne poprvé zveřejnil, že útočníci unesli účet správce npm a použili jej k publikování škodlivých aktualizací balíčků.
„Microsoft s vysokou mírou jistoty hodnotí, že tuto aktivitu lze přisoudit Sapphire Sleet, severokorejskému státnímu aktérovi, který se primárně zaměřuje na finanční sektor," uvedla společnost v aktualizaci z 19. června.
Podle Microsoftu útok začal, když aktéři hrozby kompromitovali npm účet správce „ehindero", který měl publikační oprávnění napříč prostředím balíčků Mastra. Pomocí tohoto účtu útočníci publikovali škodlivé aktualizace pro více než 140 balíčků ve scope @mastra, jež vkládaly škodlivou závislost s názvem „ easy-day-js". Tato závislost je typosquatem legitimní a široce používané JavaScriptové knihovny dayjs.
Po instalaci kompromitovaných balíčků škodlivá závislost spustila post-install hook, který na zařízení vývojářů nasadil dropper malwaru s cílem ukrást citlivé přihlašovací údaje, API klíče, autentizační tokeny a kryptoměnové peněženky.
„Po instalaci easy-day-js spustil postinstall hook, který provedl obfuskovaný dropper skript, deaktivoval ověřování TLS certifikátů, kontaktoval command-and-control (C2) infrastrukturu ovládanou útočníkem, stáhl payload druhé fáze a spustil jej jako odpojený skrytý proces," vysvětluje Microsoft.
Stažený payload druhé fáze byl multiplatformní infostealer navržený pro útok na systémy Windows, Linux i macOS. Implantát shromažďoval informace o hostiteli, historii prohlížečů, nainstalovaných aplikacích a běžících procesech a kontroloval, zda je nainstalováno 166 prohlížečových rozšíření kryptoměnových peněženek, včetně MetaMask, Phantom, Coinbase Wallet, Binance Wallet a TronLink. Malware také používal různé metody perzistence podle operačního systému, například Run klíče registru Windows, macOS LaunchAgents a Linux systemd služby.
Microsoft uvádí, že na systémech, které komunikovaly s C2 servery útočníků, následovala další aktivita využívající taktiky dříve spojované se Sapphire Sleet. To zahrnuje nasazení PowerShell backdooru, který skupina dříve používala, další perzistenční mechanismy, výjimky v Microsoft Defenderu a škodlivou službu Windows udělující oprávnění SYSTEM. „PowerShell backdoor, tradecraft a C2 infrastruktura byly Sapphire Sleet použity i v jiných, dřívějších kampaních," vysvětlil Microsoft.
Sapphire Sleet je severokorejský státem sponzorovaný aktér hrozby známý kampaněmi na krádež kryptoměn, škodlivými prohlížečovými rozšířeními, falešnými pracovními nabídkami a kompromitacemi softwarového dodavatelského řetězce navrženými ke krádeži přihlašovacích údajů a kryptoaktiv. Microsoft uvádí, že skupina stála také za samostatným npm supply-chain útokem na HTTP klienta Axios v dubnu 2026.
Ve zkratce
- Škodlivé rozšíření do Edge zneužívá Native Messaging jako most k malwaru
- Mandiant odhalil, jak zero-day útoky na Cisco SD-WAN získaly root přístup
- CISA varuje před aktivně zneužívanými kritickými chybami v Ubiquiti
- Microsoft tiše prodloužil bezplatnou podporu Windows 10 ESU do října 2027
- Phishingový kit Bluekit zavádí techniku browser-in-the-middle ke krádeži přihlášení
