Une faille dans Claude Code exposait des milliers de dépôts GitHub au piratage

Un chercheur de GMO Flatt Security, RyotaK, a identifié une vulnérabilité dans l'action GitHub de Claude Code d'Anthropic. Elle permettait à un tiers malveillant de prendre le contrôle de dépôts publics en ouvrant un seul ticket GitHub.

Le dépôt officiel d'Anthropic pour cette action était lui-même exposé. Un attaquant aurait pu y injecter du code malveillant et contaminer tous les projets qui s'appuient dessus en aval.

Comment la faille fonctionnait

Claude Code GitHub Action intègre Claude dans les pipelines CI/CD pour trier des tickets, apposer des labels, examiner des pull requests ou exécuter des commandes. Par défaut, le workflow dispose d'accès en lecture et en écriture sur le code, les tickets, les pull requests et les fichiers de workflow d'un dépôt.

Pour limiter les risques liés à ces permissions étendues, l'action était censée n'autoriser que les utilisateurs disposant d'un accès en écriture. La vérification comportait cependant une lacune : tout compte dont le nom se terminait par [bot] était automatiquement considéré comme de confiance. Or, n'importe qui peut créer une application GitHub, l'installer sur un dépôt personnel et utiliser son token pour ouvrir un ticket sur n'importe quel dépôt public.

Ce contournement ne s'appliquait qu'au mode agent, le mode tag comportant une vérification supplémentaire confirmant qu'il s'agissait d'un humain réel.

L'injection de prompt au coeur de l'attaque

Une fois ce premier obstacle franchi, l'attaquant recourait à l'injection de prompt indirecte : il dissimulait des instructions dans le contenu d'un ticket de façon à ce que Claude les exécute à la place de sa tâche initiale. RyotaK a construit un ticket dont le corps imitait un message d'erreur, puis a affiné le prompt jusqu'à amener Claude à exécuter les commandes cachées.

L'objectif était d'accéder au fichier /proc/self/environ, qui contient les variables d'environnement d'un processus, dont les secrets. Claude Code bloque les lectures directes de ce fichier, mais RyotaK a contourné cette protection et obtenu que Claude réécrive les valeurs dans le ticket ouvert, rendant ainsi les informations accessibles à l'attaquant.

Parmi ces variables figurait la paire de credentials utilisée par GitHub Actions pour obtenir un token OIDC. Ce token peut être échangé contre un token d'installation de l'application GitHub de Claude, avec accès en écriture. Voler ces credentials revenait donc à détenir un accès complet au code, aux tickets et aux workflows de la cible.

Des cas d'exploitation réels déjà recensés

RyotaK a également signalé une configuration risquée présente dans le workflow d'exemple fourni par Anthropic : le paramètre allowed_non_write_users: "*" autorisait n'importe qui à déclencher l'action. De nombreux dépôts ont copié cet exemple et hérité du problème.

Ce scénario n'est pas purement théorique. En février, une injection de prompt ciblant le workflow de triage de Cline a permis à des attaquants de dérober un token de publication npm et de pousser une version non autorisée, cline@2.3.0. La version frauduleuse a été retirée environ huit heures après sa mise en ligne.

RyotaK indique avoir identifié à ce jour une cinquantaine de méthodes distinctes pour contourner le système de permissions de Claude Code, illustrant la persistance du problème d'injection de prompt dans les agents de développement assistés par IA.

Correctifs et recommandations

Anthropic a reçu le signalement en janvier et a déployé un premier correctif en quatre jours, avec des renforcements supplémentaires au cours du printemps. La vulnérabilité a été notée 7.8 selon le score CVSS v4.0, et un bug bounty a été versé au chercheur. Les correctifs sont inclus à partir de la version claude-code-action v1.0.94.

Il est recommandé de mettre à jour vers cette version ou une version ultérieure, d'auditer tout workflow permettant à des utilisateurs sans accès en écriture ou à des bots de déclencher Claude, et de limiter les secrets accessibles au strict nécessaire.

Source : Thehackernews