New HalluSquatting Attack Could Trick AI Coding Assistants Into Installing Botnet Malware

1 minute de lecture

Mis à jour :

HalluSquatting : L’IA détournée pour créer des botnets

La recherche « HalluSquatting » démontre une nouvelle méthode d’attaque exploitant la tendance des assistants de codage IA à inventer des noms de projets inexistants (hallucinations). En identifiant ces noms prévisibles et en les enregistrant sur des plateformes comme GitHub, des attaquants peuvent piéger les agents IA pour qu’ils téléchargent et exécutent du code malveillant sur les machines des utilisateurs.

Points clés :

  • Mécanisme : L’attaque combine une hallucination de l’IA (invention d’un nom de ressource) et une injection indirecte de prompt (le code téléchargé contient des instructions malveillantes).
  • Vulnérabilité : L’exploitation repose sur l’autorisation accordée aux agents IA d’exécuter des commandes terminales sans supervision humaine (modes « auto-run » ou « yolo »).
  • Impact : Cette technique permet la création de botnets distribués sans nécessiter de failles système traditionnelles, car le vecteur d’infection est le texte lu par l’IA elle-même, contournant ainsi les pare-feux classiques.
  • Portée : L’attaque a été validée avec succès sur des outils populaires tels que GitHub Copilot, Cursor, Windsurf, et Google Gemini CLI.

Vulnérabilités :

  • Aucun identifiant CVE unique n’est attribué, car il s’agit d’une faiblesse structurelle dans la conception des agents autonomes et leur gestion de la confiance envers les ressources externes, plutôt qu’une erreur de code isolée.

Recommandations :

  • Pour les utilisateurs : Désactiver les modes d’exécution automatique (« auto-run ») qui permettent à l’IA d’exécuter des commandes sans validation humaine préalable. Vérifier systématiquement que les noms de paquets ou dépôts suggérés par l’IA existent réellement avant toute installation.
  • Pour les développeurs d’outils : Implémenter des mécanismes de vérification (lookup) obligatoires avant toute opération de récupération (fetch/clone/install). Les modèles doivent être entraînés à traiter les commandes sensibles comme des drapeaux de sécurité nécessitant une confirmation explicite.
  • Pour les plateformes de distribution : Pré-enregistrer les noms de projets « hallucinés » fréquents pour empêcher les attaquants de les revendiquer et renforcer les contrôles lors de la publication de nouvelles extensions ou outils.

Source