Hackerbot-claw利用GitHubActionsCI/CD配置缺陷攻击微软与DataDog

admin
admin
admin
0
文章
0
评论
2026-03-05 20:14:45 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文章报道了AI驱动机器人hackerbot-claw利用GitHubActionsCI/CD配置缺陷攻击微软与DataDog等主流代码库的事件。该机器人通过pull_request_target触发器漏洞窃取令牌并执行恶意代码,导致仓库被篡改,标志着AI供应链攻击的新阶段。文末提出了禁用危险触发器、遵循最小特权原则等具体防护建议,极具实战参考价值。 综合评分: 86 文章分类: 漏洞分析,AI安全,供应链安全,安全大事件,安全建设

cover_image

Hackerbot-claw利用GitHub Actions CI/CD配置缺陷攻击微软与DataDog

FreeBuf

2026年3月4日 18:06 上海

#

2026年2月21日至28日期间,名为hackerbot-claw的自动化机器人对主流开源代码库发起持续一周的攻击行动。该机器人瞄准了微软、DataDog、云原生计算基金会及其他多个广泛使用项目的GitHub Actions CI/CD流水线,在七天内向至少六个代码库提交超过12个拉取请求,并成功在四个项目中实现远程代码执行。

根据其创建于2026年2月20日的GitHub资料显示,该机器人自称是”由claude-opus-4-5驱动的自主安全研究Agent”,并公开募集加密货币捐款。其攻击方式是通过加载包含9大类攻击模式和47个子模式的漏洞模式索引,在无人干预的情况下自动扫描、验证并部署PoC漏洞利用代码。最具破坏性的行为是从拥有超过14万星标的avelino/awesome-go代码库窃取了具备写入权限的GitHub令牌。

#

Part01

攻击技术分析

StepSecurity研究人员完整还原了攻击链条,发现hackerbot-claw对七个目标采用了五种不同的利用技术。攻击日志显示,在行动被发现前的48小时内,该机器人已成功完成五次攻击会话。所有攻击均使用相同载荷——通过curl命令连接hackmoltrepeat.com执行远程脚本,同时通过recv.hackmoltrepeat.com域名收集窃取的凭证。

最严重的破坏发生在Aqua Security的Trivy代码库(拥有超过2.5万星标的开源漏洞扫描工具)。该机器人在窃取个人访问令牌后,不仅重命名代码库、删除0.27.0至0.69.1版本间的所有GitHub Releases,还向Open VSX市场的Trivy VS Code扩展推送了可疑构件。Aqua Security事后恢复了公开访问并发布0.69.2版本。

Part02

AI驱动的供应链攻击

此次攻击标志着AI安全领域的重要转折——首个由AI驱动的机器人试图操纵其他AI工具执行恶意操作。在攻击ambient-code/platform代码库时,hackerbot-claw替换项目CLAUDE.md文件内容,试图诱骗Claude Code提交未授权变更并发布虚假审核评论。Claude Code成功识别并拒绝该尝试,将其归类为”通过污染项目级指令实施的教科书级AI Agent供应链攻击”。

Part03

CI/CD工作流漏洞利用机制

hackerbot-claw利用的核心漏洞是GitHub Actions中常见但常被忽视的pull_request_target触发器配置问题——当该触发器与未受信任分支的代码检出操作结合使用时,攻击者代码将获得与工作流相同的仓库密钥和权限访问权。

在avelino/awesome-go攻击中,机器人向质量检查脚本注入Go语言的init()函数。由于Go会在main()前自动执行init(),恶意代码得以在正规检查前运行。该机器人经过18小时内6次尝试,最终两次成功将GitHub令牌外传。

针对微软ai-discovery-agent代码库的攻击则利用bash命令替换特性,将载荷直接嵌入git分支名称。当工作流将未转义的分支名写入文件时触发攻击,构建日志显示某步骤出现2分38秒异常延迟(正常应在毫秒级完成)。DataDog的datadog-iac-scanner则遭遇隐藏在文件名中的base64编码Shell命令攻击,攻击通过/sync-metadata拉取请求评论触发,DataDog在9小时内部署了应急补丁。

Part04

防护建议

  • 禁止在检出未受信任分支时使用pull_request_target触发器
  • 所有Shell运行块中的${{ }}表达式应通过环境变量传递
  • GitHub令牌权限应遵循最小特权原则(非必要不授予写入权限)
  • CI运行器的出站网络流量应限制至已知可信端点
  • 评论触发的工作流必须设置author_association验证机制,确保执行脚本前评论者具备相应仓库权限

参考来源:

Hackerbot-Claw Bot Attacks Microsoft and DataDog via GitHub Actions CI/CD Misconfiguration

Hackerbot-Claw Bot Attacks Microsoft and DataDog via GitHub Actions CI/CD Misconfiguration

#

#

#

推荐阅读

电台讨论

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《Hackerbot-claw利用GitHub Actions CI/CD配置缺陷攻击微软与DataDog》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0