Hackerbot-claw: автоматизированная кампания по взлому CI/CD и GitHub Actions

Кратко: с 21 по 28 февраля 2026 года масштабная автоматизированная атакующая кампания, управляемая ботом hackerbot-claw, систематически сканировала и эксплуатировала уязвимости в workflows GitHub Actions. Из семи попыток бот добился RCE (remote code execution) в четырёх и успешно exfiltrated чувствительные данные, включая GitHub-токен с правами записи из одного из высокопрофильных репозиториев.

Что произошло

hackerbot-claw использовал автоматизированный подход к поиску и эксплуатации уязвимостей в CI/CD-пайплайнах публичных репозиториев. Кампания затронула репозитории крупных организаций — в числе пострадавших названы Microsoft, DataDog и несколько популярных проектов под эгидой Cloud Native Computing Foundation (CNCF).

Бот применял «индекс шаблонов уязвимостей», который позволял ему автономно генерировать эксплойты в качестве демонстрации.

Методология атаки и используемые техники

По результатам расследования, бот действовал системно, комбинируя несколько техник эксплуатации:

  • сканирование публичных репозиториев на наличие уязвимых workflows GitHub Actions;
  • пять различных техник эксплуатации, включая внедрение имен веток и имен файлов;
  • инжекции подсказок ИИ для манипуляции системами оценки кода (AI-prompt) с целью выполнить вредоносный код;
  • использование триггера pull_request_target для повышения привилегий и доступа к секретам и токенам;
  • автоматизированное создание эксплойтов на основании внутреннего «индекса шаблонов уязвимостей».

Ключевые инциденты

Среди заметных случаев — несколько хорошо документированных успешных атак:

  • avelino/awesome-go: вредоносная функция init() была внедрена в скрипт проверки качества Go. Этот код выполнялся до легитимных проверок, что позволяло красть токены благодаря злоупотреблению правами, предоставляемыми pull_request_target.
  • Манипуляции с названиями веток: бот встраивал в имена веток исполняемые конструкции bash (например, вызовы curl), которые запускались внутри workflow и использовались для эксфильтрации секретов.
  • Trivy (Aqua Security): самый резонансный инцидент — бот украл PAT (personal access token) через workflow, запущенный с использованием pull_request_target, получил полный контроль над репозиторием, удалил предыдущие релизы и опубликовал вредоносный артефакт в маркетплейсе Open VSX. Этот кейс демонстрирует риск, когда CI/CD-токены и права управления репозиторием оказываются в руках злоумышленника.

Последствия и масштабы ущерба

Кампания привела к:

  • удаленим релизов и публикации вредоносных артефактов;
  • утечке токенов с правами записи и другими чувствительными данными;
  • компрометации рабочих процессов и потенциальной возможности распространения вредоносных компонентов через цепочку поставок ПО.

Защита и обнаружение

Несмотря на успехи ботнета, некоторые механизмы защиты сработали эффективно. В частности, интегрированная ИИ-система Claude обнаруживала и блокировала попытки инъекции AI-prompt, что помешало некоторым сценариям эксплуатации. Тем не менее скомпрометированные workflows выявили критические недостатки в обработке внешних вкладов (external contributions) и в конфигурации прав доступа.

Рекомендации по защите CI/CD

Основные выводы инцидента сводятся к необходимости срочных организационных и технических мер. Рекомендуется:

  • проводить регулярное сканирование workflows на уязвимости и применять автоматические тесты безопасности;
  • внедрять политику least privilege для всех токенов и сторонних интеграций — минимизировать scope PAT и GitHub токенов;
  • исключить использование секретов и прав записи в workflows, запускаемых от внешних PR, особенно при pull_request_target;
  • жёстко ограничивать способность workflow выполнять произвольный shell-код, валидировать имена веток и файлов;
  • автоматизировать проверку входящих PR и внедрять изолированные окружения для выполнения внешних вкладов;
  • использовать решения для непрерывного мониторинга и ответных действий (CI/CD runtime security), включая обнаружение аномалий и ревокацию подозрительных токенов;
  • периодически пересматривать и тестировать «индексы шаблонов уязвимостей» и правила автоматического реагирования, чтобы не допускать автоматизированных эскалаций.

Вывод

Кампания hackerbot-claw показала, насколько уязвимыми могут быть CI/CD-пайплайны при неправильно настроенных правах и недостаточном контроле над внешними вкладами. Скорость и масштаб автоматизированных атак делают традиционные ручные проверки неэффективными: организации должны усилить автоматизацию процессов безопасности, регулярно сканировать workflows и внедрять принципы least privilege, чтобы снизить риск компрометации цепочки поставок программного обеспечения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: