Selon le blog Embrace The Red, un chercheur de sécurité a démontré AgentHopper, un malware conceptuel ciblant des agents de codage via des injections de prompts et se propageant au travers de dépôts Git. Les vulnérabilités référencées ont été corrigées, et la recherche met en lumière la nécessité de contrôles de sécurité renforcés (protection des branches, passphrases pour clés SSH, principe du moindre privilège pour les agents d’IA).
AgentHopper abuse d’injections de prompt indirectes pour atteindre une exécution de code arbitraire sur plusieurs agents d’IA populaires. Le malware utilise des payloads universels conditionnels capables de déclencher des chemins d’exploitation spécifiques selon l’agent ciblé, facilitant une infection multi‑plateforme à partir d’un seul contenu malveillant dans le dépôt.
Ciblage par agent :
- GitHub Copilot : modification de
settings.json. - Amp Code : création de faux serveurs MCP.
- Amazon Q : exécution de commandes bash.
- AWS Kiro : modification de fichiers de configuration.
Techniques et propagation 🧬:
- Scan des référentiels Git, injection de payloads de prompt, commit des changements puis git push pour diffuser l’infection.
- Infection automatique de nouveaux environnements lorsque des développeurs font un pull de code compromis.
IOCs et TTPs:
- IOCs: non fournis.
- TTPs: prompt injection indirecte, payload conditionnel, exécution de code arbitraire, modification de
settings.json, création de faux serveurs MCP, exécution de commandes bash, modification de configs, scan de dépôts, commit/push Git.
Il s’agit d’une publication de recherche présentant une preuve de concept de malware visant à illustrer les risques d’injection de prompts et de propagation via la chaîne d’approvisionnement logicielle.
🔗 Source originale : https://embracethered.com/blog/posts/2025/agenthopper-a-poc-ai-virus/