SI yordamchisi loyihani ochishdanoq haker buyrug'ini bajardi: Claude Codeda muhim zaiflik topildi
0
2
0
Claude Code, eng mashhur satrli SI kod yozish yordamchilaridan biri, masofadan kod bajarish (remote code execution) va foydalanuvchi roziligini aylanib o'tib, sezgir ma'lumotlarni o'g'irlash imkonini beruvchi jiddiy zaifliklarni o'z ichiga olgan reliz bilan ommaga taqdim etilgan. Hujumchilar repo darajasidagi sozlama fayllarida zararli ko'rsatmalar yashirishi mumkin.
Check Point tadqiqotchilari GitHubdagi zararli reponi Claude Code bilan ochishgina buzilishga olib kelishi mumkinligini kashf etdilar. SI yordamchisi yashirin ko'rsatmalarga so'roqsiz itoat qildi va hech qanday ogohlantirish yoki qalqib chiquvchi oynalarsiz shaxsga doir ma'lumotlarni "uxlatdi".
Tadqiqotchilar GitHubda soxta repo yaratdilar va Claudening sozlama fayllariga zararli ko'rsatmalar "ekib" qo'ydilar - asosan SI yordamchisiga qanday ishlashni ko'rsatuvchi oddiy matn hujjati.
Bu repo darajasidagi sozlama fayllari Claude Code uchun ko'plab parametrlarni, masalan, avtomatik triggerlar (hooklar deb ataladi), Model Context Protocol (MCP) integratsiyalari, muhit o'zgaruvchilari va boshqalarni tafsilotlari bilan bayon qilish orqali hamkorlikni osonlashtiradi.
Hujumchilar yordamchi ishlatadigan ixtiyoriy qobiq buyruqlarini shunchaki ekib qo'yishlari mumkin, bu esa hech qanday foydalanuvchi harakatisiz API kalitlarini o'g'irlashga olib keladi.
"Shunchaki zararli reponi ochishgina ishlab chiquvchi kompyuterida yashirin bajarishga trigger bo'lishi mumkin - loyihani ishga tushirishdan boshqa hech qanday qo'shimcha o'zaro ta'sir talab qilmaydi," deb yozilgan Check Point tomonidan kashf etilgan zaifliklar haqidagi hisobotda.
Agar ishlab chiquvchi sozlama faylida zararli ko'rsatmalar mavjud bo'lgan buzilgan loyihani yuklab olgan bo'lsa, Claude Code ularni tizimda o'rnatilgan rozilik va ishonch himoya vositalarini aylanib o'tib bajarishi mumkin.
Tadqiqotchlar eksploitni namoyish etdilar, jismoniy ish muhitida Anthropic API kalitlari va shaxsiy fayllarni ochib berdilar va ta'sir korporativ bulutli ish joylariga ham kengayishi mumkinligini da'vo qildilar.
“Hammasi allaqachon buzila boshlagan edi - ammo tashqaridan bunga ishora qiladigan deyarli hech qanday belgi yo‘q edi. Hamkorlikni optimallashtirish uchun yaratilgan mexanizm SI yordamida ishlaydigan rivojlanish jarayonida jim, ammo xavfli hujum kengligiga aylandi”, - deya ma’lum qildi Check Point.
Aniqlangan zaifliklardan biri CVE-2025-59536 bo‘lib, u 10 ballik jiddiylik shkalasida 8,7 ball bilan yuqori xavf darajasiga ega deb baholandi.
Tavsifga ko‘ra, ishga tushirish ishonch (trust) dialogi noto‘g‘ri amalga oshirilgani sababli, foydalanuvchi hali tasdiq bermasidan turib Claude Code loyihadagi kodni bajarishga aldanishi mumkin bo‘lgan. Biroq bunday hujum amalga oshishi uchun foydalanuvchi Claude Codeni ishonchsiz jild ichida ishga tushirishi talab etiladi.
Yana bir zaiflik - CVE-2026-21852 - 5,3 ball bilan o‘rta darajadagi xavf sifatida baholandi. Ushbu xatodan foydalangan hujumchilar Claude Codeni o‘zlari nazorat qiladigan soxta serverga API so‘rov yuborishga majburlashi va natijada foydalanuvchilarning API kalitlarini qo‘lga kiritishi mumkin edi.
Anthropic kompaniyasi tuzatishlarni Claude Codening avtomatik yangilanish mexanizmi orqali tarqatdi. Qo‘lda yangilashdan foydalanadigan foydalanuvchilarga esa so‘nggi versiyani zudlik bilan o‘rnatish tavsiya etiladi.
Mutaxassislarning ogohlantirishicha, agar hujumchilar Anthropic API kalitini o‘g‘irlasa, ular loyiha fayllariga ruxsatsiz kirish, bulutda saqlangan ma’lumotlarni o‘zgartirish yoki o‘chirish, zararli kontent yuklash hamda kutilmagan moliyaviy xarajatlarni keltirib chiqarish imkoniga ega bo‘lishi mumkin.
Ilgari repodagi sozlama fayllari oddiy metadata sifatida qabul qilingan - ular bajariluvchi mantiq emas, faqat tavsiflovchi qatlam deb qaralardi. Ammo SI yordamida ishlovchi rivojlanish vositalarining kengayishi bu tasavvurni tubdan o‘zgartirdi.
Endilikda repoga joylashtirilgan oddiy matn ham bajarilish jarayoniga, ruxsatlar boshqaruviga va hatto tarmoqlanishga ta’sir ko‘rsatishi mumkin.
“Xavf endi faqat ishonchsiz kodni ishga tushirish bilan cheklanmaydi - u ishonchsiz loyihani ochishning o‘zi bilan ham boshlanishi mumkin”, - deya izoh beradi Check Point tadqiqotchilari.
“SI boshqaruvidagi rivojlanish muhitlarida ta’minot zanjiri endi faqat manba kodidan iborat emas. U kodni o‘rab turgan avtomatlashtirilgan qatlamlardan ham boshlanadi.”
