Repositori Penilaian Koding yang Terkontaminasi — Injeksi Prompt Tidak Langsung Agen AI Mengeksfiltrasi Kredensial Cloud dalam Waktu Kurang dari 2 Menit

Mitiga Labs menerbitkan analisis rantai serangan lengkap pada 2026-06-22 (datePublished dikonfirmasi melalui JSON-LD dalam sumber halaman) yang mendemonstrasikan bagaimana repositori penilaian pengambilan kode palsu — tidak mengandung malware tradisional — menggunakan injeksi prompt tidak langsung melalui file yang dipercaya agen koding secara default (CLAUDE.md, .cursor/rules, README, konfigurasi MCP) untuk memanipulasi agen agar menuai kredensial AWS, menghitung lingkungan cloud dan Kubernetes, dan mengeksfiltrasi data dalam waktu kurang dari dua menit. Dengan auto-run diaktifkan, agen menggunakan hanya peralatan pengembang asli. Hasil kritis adalah pencurian kredensial akun layanan CI/CD yang bertahan lama yang bertahan dari remediasi workstation.

Ini mendokumentasikan kelas serangan yang baru dan senjata dengan PoC kerja penuh terhadap agen koding AI nyata (Cursor, Claude Code). Tidak ada malware yang dijatuhkan — deteksi oleh alat titik akhir tradisional pada dasarnya nol. Serangan mengeksploitasi model kepercayaan fundamental dari asisten koding agentic: mereka membaca dan bertindak pada file konteks repositori sebelum tinjauan manusia apa pun. Kredensial yang bertahan lama yang dicuri memungkinkan akses cloud persisten jauh di luar kompromi workstation awal, menjadikan ini serangan identitas gaya rantai pasokan yang parah.

Pengembang mengkloning atau membuka repositori yang terkontaminasi; agen koding AI dengan auto-run membaca file instruksi yang berisi direktif injeksi prompt tersembunyi dan secara mandiri menjalankan pencurian kredensial dan eksfiltrasi menggunakan alat asli (AWS CLI, kubectl, dll.).

Agen koding AI dengan auto-run diaktifkan (Cursor, Claude Code, dan serupa) yang memproses file konteks repositori (CLAUDE.md, .cursor/rules, AGENTS.md, konfigurasi MCP)

Nonaktifkan mode auto-run / auto-approve di agen koding AI; perlukan persetujuan eksplisit untuk panggilan alat. Ganti kredensial statis bertahan lama dengan token berumur pendek. Isolasikan repositori tidak terpercaya di lingkungan kotak pasir. Audit file konteks agen (CLAUDE.md, .cursor/rules, konfigurasi MCP) sebelum eksekusi. Lihat penasihat Mitiga untuk IOC lengkap.