ИИ-кампания prt-scan атакует GitHub supply chain

Campaign prt-scan стала заметным сигналом об эволюции supply chain attacks: злоумышленник, действующий на базе artificial intelligence, начал использовать workflow pull_request_target на GitHub для массового запуска вредоносных действий.

Согласно отчету, кампания стартовала 11 March 2026. Автоматизированный attacker, работавший под account ezmtebo, успел за короткое время инициировать более 500 malicious pull requests. Целями стали десятки repositories — от проектов крупных организаций до personal projects.

Как работала кампания

На раннем этапе оператор использовал сравнительно примитивные bash scripts для внедрения payloads в часто встречающиеся файлы репозиториев. Среди них:

• conftest.py — в Python-проектах;
• package.json — в JavaScript-проектах.

Для сокрытия намерений и автоматизации атак применялись единообразные branch naming conventions, включая префиксы prt-scan. Это указывало на целенаправленное использование особенностей GitHub Actions и попытку манипулировать CI/CD-процессами.

Эволюция атак: от простых скриптов к AI-generated payloads

По мере развития кампании инструментарий становился сложнее. К моменту, когда атаки стали публично известны, злоумышленник перешел к использованию AI-generated payloads, адаптированных под конкретный технологический stack целевого repository.

Такая адаптивность позволила выстраивать более сложные многофазные сценарии, включавшие:

• кражу GITHUB_TOKEN;
• enumeration секретов из cloud services;
• извлечение конфиденциальных credentials;
• поиск маркеров в base64-encoded данных в workflow logs и PR comments.

Ограничения атаки и ошибки злоумышленника

Несмотря на усложнение методов, кампания демонстрировала и заметные концептуальные просчеты. Отчет указывает на слабое понимание модели permissions в GitHub. В частности, фиксировались:

• несоответствие типов payloads целевым repositories;
• некорректные попытки использовать permissions;
• ошибки при адаптации внедрения под разные programming environments.

В результате эффективность атак оказалась ограниченной: успешность составила около 10%. В основном злоумышленник нацеливался на low-value projects, где security controls были менее строгими.

Почему крупные проекты устояли

Крупные repositories в целом сумели отразить кампанию благодаря более зрелым security practices. В отчете отдельно отмечены следующие меры:

• approval со стороны first-time contributors;
• path-based trigger conditions;
• более строгие GitHub security settings.

Именно эти механизмы снизили риск выполнения вредоносных workflow и ограничили возможности автоматизированного attacker.

Что означает prt-scan для supply chain security

Кампания prt-scan отражает важный сдвиг в landscape supply chain attacks: автоматизированные и адаптивные противники теперь способны быстро находить и эксплуатировать слабые места в процессах разработки.

По мере того как machine learning и automation снижают барьер входа для масштабных атак, security teams вынуждены пересматривать подходы к защите CI/CD и workflow-цепочек.

Отчет подчеркивает, что традиционные меры безопасности уже недостаточны для противодействия угрозам, которые действуют с высокой скоростью и способны менять тактику в реальном времени. В условиях, когда атаки на CI/CD становятся более динамичными, организациям требуется постоянная бдительность, а также гибкие и оперативные defensive measures.

Вывод: prt-scan — это не просто серия неудачных вредоносных PR, а показатель того, как AI-enabled automation меняет характер supply chain threats и повышает требования к защите критически важной инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.