Nieuwe HalluSquatting-aanval kan AI-coderingsassistenten ertoe verleiden botnet-malware te installeren

AI-codeerassistenten hebben de gewoonte om dingen te verzinnen. Vraag iemand om een ​​populair hulpmiddel op te halen, en het zal soms een realistisch klinkende naam teruggeven voor een project dat niet bestaat.

Nieuw onderzoek, zoals de auteurs het noemen HalluKrakenverandert die gewoonte in een aanval: bedenk de valse namen die een AI op betrouwbare wijze verzint, registreer ze eerst en wacht tot de assistent namens een gebruiker uw valstrik haalt.

Iedereen wiens AI-assistent een externe bron kan ophalen en vervolgens opdrachten kan uitvoeren met weinig menselijke controle, wordt blootgesteld. In tests leidde dat pad ertoe dat de assistent door de aanvaller aangeleverde code op de machine uitvoerde.

Herhaal het met een bron die populair genoeg is, en één geplante naam kan veel machines bereiken. Daarom beschouwen de onderzoekers het als een manier om een ​​botnet samen te stellen.

Hoe het werkt

De aanval combineert twee AI-eigenaardigheden. De eerste is een hallucinatie: een AI die iets verzint en het als echt presenteert. De tweede is een snelle injectie: een boobytrap-instructie die de AI kaapt, zodat deze een aanvaller volgt in plaats van de gebruiker.

Hier is de injectie van de indirecte soort, waarbij wordt ingespeeld op de inhoud die de assistent ophaalt in plaats van op de inhoud die de gebruiker typt.

  1. Kies een doel. De aanvaller vindt een repository of plug-in die populair is, dus veel mensen vragen hun AI om deze op te halen. Trending is van belang, omdat er geen gloednieuwe bron in de trainingsgegevens van de AI zit, en dat is precies het moment waarop het model naar namen begint te raden.
  2. Leer de fout. De aanvaller vraagt ​​een AI om die bron keer op keer op te halen en registreert de valse naam die hij het vaakst verzint.
  3. Claim de valse naam. De aanvaller registreert die naam op GitHub of een plugin store en verbergt daarin vijandige instructies.
  4. Wachten. Een echte gebruiker vraagt ​​zijn assistent om de populaire bron te pakken. De assistent bedenkt dezelfde valse naam en haalt in plaats daarvan de versie van de aanvaller over. De verborgen instructies passen in wat de assistent denkt dat hem is opgedragen, en de gekaapte assistent gebruikt zijn eigen commando-running tool om ze uit te voeren.

De valstrik is geen code die op zichzelf draait. Het werkt omdat deze assistenten een terminal tussen hun ingebouwde tools houden, dus zodra de geplaatste instructies het overnemen, is het “installeren van een bot” eenvoudigweg iets dat de assistent kan doen.

Wat het praktisch maakt, is dat de valse namen niet willekeurig zijn. In de experimenten van de onderzoekers was de fout consistent: in verschillende bewoordingen en in modellen van verschillende bedrijven greep de assistent in maximaal 85% van de repositoryverzoeken en in 100% van de vaardigheidsinstallaties naar dezelfde verkeerde naam. Dat zijn de piekcijfers die de auteurs rapporteren; het papier bevat de volledige uitsplitsing.

Ze voerden het uit tegen tools als Cursor, Windsurf, GitHub Copilot, Cline, Google’s Gemini CLI en de OpenClaw-familie van assistenten, waarbij ze elk de code van de aanvaller lieten uitvoeren. De testladingen waren onschadelijke tijdelijke aanduidingen, geen echte malware; een levende zou hetzelfde pad volgen.

Het onderzoek is afkomstig van Aya Spira en collega’s in de groep van Ben Nassi aan de Universiteit van Tel Aviv, met Stav Cohen van Technion en Ron Bitton van Intuit. De groep van Nassi heeft dit eerder gedaan door een zichzelf verspreidende AI-e-mailworm en een agenda-uitnodiging te bouwen die Google’s Gemini heeft gekaapt.

Het team zegt dat het de getroffen leveranciers, modelmakers en marktplaatsexploitanten heeft geïnformeerd voordat het naar de beurs ging, en de exacte stappen achterhield die nodig waren om de aanval te kopiëren.

Waarom is het een nieuw soort botnet?

Het bouwen van traditionele botnets vergt werk. Ze vertrouwen op zwakke wachtwoorden, of op malware die van machine naar machine wormt, en ze hebben meestal één soort apparaat in de hand, zoals Mirai camera’s en routers beheerde.

Dit heeft niets van dat alles nodig. Geen wachtwoorden, geen ontworming, en omdat de payload binnenkomt als tekst die de AI leest en niet als een netwerkexploit, is dit niet iets waar een firewall op let. De machines waarop het terechtkomt, kunnen elk besturingssysteem draaien, niet één uniforme vloot.

De AI is hier de bestelwagen, niet de vracht. De geplaatste instructies zorgen ervoor dat hij een gewone bot installeert, en zodra die bot draait, behoort de machine tot een botnet zoals alle andere. Wat nieuw is, is de combinatie die het daar brengt: een naam die een AI voorspelbaar verzint, een marktplaats waar iedereen die naam kan registreren, en een agent met toestemming om deze op te halen en uit te voeren.

De stukken zijn niet nieuw, ook al is de combinatie dat wel. Aanvallers leerden voor het eerst valse softwarepakketnamen te registreren die AI’s verzinnen, een truc die ‘slopsquatting’ wordt genoemd.

In januari 2026 vond Charlie Eriksen van Aikido Security zo’n verzonnen npm-pakket, react-codeshift, dat door AI geschreven instructies al naar 237 codeprojecten waren verspreid, terwijl agenten het nog steeds dagelijks probeerden te installeren; hij registreerde het zelf voordat een aanvaller dat kon, dus het veroorzaakte geen schade.

Het idee sprong vervolgens van pakketten naar webadressen. Unit 42 van Palo Alto Networks beschreef onlangs ‘fantoomkraken’, ongeveer 250.000 gehallucineerde domeinen die ongeregistreerd en gratis voor het oprapen liggen (het artikel van THN is hier).

HalluSquatting is de versie die helemaal tot aan het uitvoeren van code reikt door de agent te kapen die het ophalen uitvoert. En de marktplaatsen die bedoeld zijn om slechte uploads te screenen, zijn niet echt een backstop: in juni liet Trail of Bits binnen een uur kwaadaardige “vaardigheden” langs verschillende winkelscanners glijden.

Wat te doen

Het draait allemaal om één voorwaarde: een agent die een externe bron ophaalt en deze uitvoert zonder dat iemand het controleert. Sluit dat en de aanval stopt. De meest effectieve oplossing is ook de eenvoudigste: laat de assistent zoeken voordat deze wordt opgehaald.

Een echte opzoeking baseert de agent op wat er feitelijk bestaat en maakt een einde aan het raden. Dat is een taak voor de mensen die deze tools bouwen, die ook de planner (het deel dat een verzoek aan stappen koppelt) kunnen trainen om eerst een hulpbron op te zoeken en woorden als klonen, installeren en ophalen als vlaggen te behandelen.

Gebruikers en beveiligingsteams beschikken over hefbomen voor de korte termijn. Standaard vragen deze agenten voordat ze een opdracht uitvoeren. De blootstelling bestaat uit de automatische uitvoeringsmodi (de vlag voor overslaan van rechten van Claude Code, de yolo-modus van Gemini CLI) die dat uitschakelen, dus de eerste regel is dat je een agent niet onbeheerd laat lopen op iets dat hij heeft opgehaald.

Sommige tools voegen nu een veiligheidslaag toe die inspecteert wat de agent leest of gaat doen voordat deze actie onderneemt, zoals de automatische modus van Claude Code en de Conseca-controle van Gemini CLI, maar dat verlaagt het risico in plaats van het te verwijderen. Geen enkele schakelaar sluit dit af, dus controleer ook of een repository- of pakketnaam wordt omgezet naar de echte, verwachte bron voordat een agent deze binnenhaalt, en behandel elke naam die een AI u geeft als een gok en niet als een feit.

Platforms hebben hun eigen hefboom. Ze kunnen stoppen met het hergebruiken van bekende repositorynamen onder nieuwe accounts, en de valse namen die AI’s waarschijnlijk zullen verzinnen vooraf registreren (dezelfde verdediging die al wordt gebruikt tegen typosquatting), zodat die namen terugverwijzen naar het echte project.

De onderzoekers noemen hun resultaten een ondergrens: “Aanvallen worden altijd beter; ze worden nooit erger.” Er is geen enkele CVE die hier kan worden gepatcht. Ze beschouwen het niet als een bug van één product, maar als een zwakte in de manier waarop AI-agenten namen vertrouwen die ze nooit hebben gekregen.

Thijs Van der Does