Napadači ciljaju AI coding agente kroz zlonamerne pakete
CSO Online piše o novoj fazi softverskih supply chain napada u kojoj napadači ne ciljaju samo developere, već i AI coding agente koji samostalno predlažu ili instaliraju dependency-je iz NPM, PyPI i drugih registara. ReversingLabs prati kampanju PromptMink, povezanu sa severnokorejskom grupom Famous Chollima, u kojoj su korišćeni bait paketi sa uverljivom dokumentacijom i legitimnom funkcionalnošću, dok su zlonamerni dependency-ji krali podatke, dodavali SSH ključeve i eksfiltrirali projekte. Poseban rizik je LLMO abuse i knowledge injection, gde se opis i dokumentacija paketa pišu tako da ih AI agent lakše preporuči. Tekst obrađuje i slopsquatting, odnosno registraciju paketa sa imenima koja LLM alat može da halucinira, kao u slučaju react-codeshift, koji se pojavio u 237 GitHub repozitorijuma.
AI coding agenti uvode novu kariku u softverski lanac. Developer više nije jedini koga treba ubediti da instalira paket; dovoljno je da dokumentacija, naziv i opis dependency-ja deluju uverljivo modelu koji piše kod ili predlaže komponente. Kada agent može sam da instalira pakete, jedna halucinirana ili namerno optimizovana preporuka postaje realan napadni put.
- Ne dozvoliti AI coding agentima da samostalno instaliraju dependency-je bez pregleda developera
- Koristiti allowlist proverenih registara, paketa i verzija za projekte u kojima rade AI agenti
- Svaki AI-predloženi paket tretirati kao neproveren dok se ne pregledaju njegov izvor, maintainer, istorija, dependency-ji i ponašanje pri instalaciji
- Uvesti SBOM praksu kako bi tim znao koje komponente su ušle u projekat i odakle su došle
- Posebno proveravati pakete sa previše uverljivom dokumentacijom, novim maintainerima, čudnim imenima, velikim binarnim payload-ima ili automatskim install skriptama