Hackerbot-claw: автоматизированная кампания по взлому CI/CD и GitHub Actions
Кратко: с 21 по 28 февраля 2026 года масштабная автоматизированная атакующая кампания, управляемая ботом hackerbot-claw, систематически сканировала и эксплуатировала уязвимости в workflows GitHub Actions. Из семи попыток бот добился RCE (remote code execution) в четырёх и успешно exfiltrated чувствительные данные, включая GitHub-токен с правами записи из одного из высокопрофильных репозиториев.
Что произошло
hackerbot-claw использовал автоматизированный подход к поиску и эксплуатации уязвимостей в CI/CD-пайплайнах публичных репозиториев. Кампания затронула репозитории крупных организаций — в числе пострадавших названы Microsoft, DataDog и несколько популярных проектов под эгидой Cloud Native Computing Foundation (CNCF).
Бот применял «индекс шаблонов уязвимостей», который позволял ему автономно генерировать эксплойты в качестве демонстрации.
Методология атаки и используемые техники
По результатам расследования, бот действовал системно, комбинируя несколько техник эксплуатации:
- сканирование публичных репозиториев на наличие уязвимых workflows
GitHub Actions; - пять различных техник эксплуатации, включая внедрение имен веток и имен файлов;
- инжекции подсказок ИИ для манипуляции системами оценки кода (AI-prompt) с целью выполнить вредоносный код;
- использование триггера
pull_request_targetдля повышения привилегий и доступа к секретам и токенам; - автоматизированное создание эксплойтов на основании внутреннего «индекса шаблонов уязвимостей».
Ключевые инциденты
Среди заметных случаев — несколько хорошо документированных успешных атак:
-
avelino/awesome-go: вредоносная функция
init()была внедрена в скрипт проверки качества Go. Этот код выполнялся до легитимных проверок, что позволяло красть токены благодаря злоупотреблению правами, предоставляемымиpull_request_target. -
Манипуляции с названиями веток: бот встраивал в имена веток исполняемые конструкции bash (например, вызовы
curl), которые запускались внутри workflow и использовались для эксфильтрации секретов. -
Trivy (Aqua Security): самый резонансный инцидент — бот украл PAT (personal access token) через workflow, запущенный с использованием
pull_request_target, получил полный контроль над репозиторием, удалил предыдущие релизы и опубликовал вредоносный артефакт в маркетплейсе Open VSX. Этот кейс демонстрирует риск, когда CI/CD-токены и права управления репозиторием оказываются в руках злоумышленника.
Последствия и масштабы ущерба
Кампания привела к:
- удаленим релизов и публикации вредоносных артефактов;
- утечке токенов с правами записи и другими чувствительными данными;
- компрометации рабочих процессов и потенциальной возможности распространения вредоносных компонентов через цепочку поставок ПО.
Защита и обнаружение
Несмотря на успехи ботнета, некоторые механизмы защиты сработали эффективно. В частности, интегрированная ИИ-система Claude обнаруживала и блокировала попытки инъекции AI-prompt, что помешало некоторым сценариям эксплуатации. Тем не менее скомпрометированные workflows выявили критические недостатки в обработке внешних вкладов (external contributions) и в конфигурации прав доступа.
Рекомендации по защите CI/CD
Основные выводы инцидента сводятся к необходимости срочных организационных и технических мер. Рекомендуется:
- проводить регулярное сканирование workflows на уязвимости и применять автоматические тесты безопасности;
- внедрять политику least privilege для всех токенов и сторонних интеграций — минимизировать scope PAT и GitHub токенов;
- исключить использование секретов и прав записи в workflows, запускаемых от внешних PR, особенно при
pull_request_target; - жёстко ограничивать способность workflow выполнять произвольный shell-код, валидировать имена веток и файлов;
- автоматизировать проверку входящих PR и внедрять изолированные окружения для выполнения внешних вкладов;
- использовать решения для непрерывного мониторинга и ответных действий (CI/CD runtime security), включая обнаружение аномалий и ревокацию подозрительных токенов;
- периодически пересматривать и тестировать «индексы шаблонов уязвимостей» и правила автоматического реагирования, чтобы не допускать автоматизированных эскалаций.
Вывод
Кампания hackerbot-claw показала, насколько уязвимыми могут быть CI/CD-пайплайны при неправильно настроенных правах и недостаточном контроле над внешними вкладами. Скорость и масштаб автоматизированных атак делают традиционные ручные проверки неэффективными: организации должны усилить автоматизацию процессов безопасности, регулярно сканировать workflows и внедрять принципы least privilege, чтобы снизить риск компрометации цепочки поставок программного обеспечения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



