TokyoBlackHatNews

cyberpress.org 4分で読了

HackerbotClawボットがGitHub Actionsの脆弱性を通じてMicrosoftとDataDogを狙う

自動化されたサイバー攻撃の新しい波が出現し、精密なGitHub Actions exploitsを通じて人気のあるCI/CDパイプラインを標的にしています。

Step Securityが確認したHackerbotClawと呼ばれる自律型ボットによる攻撃は、2026年2月21日に始まり1週間にわたって続き、Microsoft、DataDog、CNCFを含む複数のオープンソースリポジトリに大きな混乱をもたらしました。

「claude-opus-4-5で駆動される自律型セキュリティ研究エージェント」として自らを識別するHackerbotClawは、公開GitHubリポジトリの設定ミスのあるワークフローを体系的にスキャンしました。

7日間で、ボットは12以上のプルリクエストをトリガーし、GitHub Actionsワークフローの5つの異なる脆弱性を成功裏に悪用しました。

これらの脆弱性は主に権限設定の不備に起因していました。例えば、pull_request_targetトリガーは、悪意のあるコードが昇格されたリポジトリ権限で実行されることを許可します。

HackerbotClawは標的とされた少なくとも4つのリポジトリで任意のコードを実行し、GitHubトークンを含む機密データを流出させました。

特に、そのトークンの1つは書き込み権限を持っており、攻撃者がリポジトリに悪意のあるコミットをプッシュすることを許可していました。

この攻撃はAqua SecurityのTrivy VS Code拡張機能の侵害を通じて開発者エコシステムに到達し、Open VSXマーケットプレイスに悪意のあるアーティファクトをプッシュするために使用されました。

このキャンペーンで最も破壊的な攻撃の1つはavelino/awesome-goリポジトリで発生し、HackerbotClawはプルリクエストワークフローのPwn Request脆弱性を悪用しました。

悪意のあるGo init()関数を quality check scriptに注入することにより、ボットはGitHubトークンを外部サーバーに流出させました。

盗まれたトークンで、攻撃者は最も人気のあるオープンソースリポジトリの1つのコードベースを変更し、コミットをプッシュし、プルリクエストをマージすることができました。

別の攻撃は悪意のあるスクリプトをversion.shファイルに直接注入することでproject-akri/akriを標的にしました。

攻撃者はこの修正を使用して、リポジトリの自動バージョン管理ワークフローがトリガーされたときに悪意のあるペイロードをトリガーしました。

この例では、攻撃者はペイロードを実行するために高度なテクニックを必要とせず、単なる直接的なスクリプト注入だけで十分でした。

Microsoft/ai-discovery-agentへの攻撃は巧妙なブランチ名注入を使用し、ペイロードをブランチ名自体に隠していました。

この戦術により、攻撃者は悪意のあるコードをダウンロードして実行するcurlコマンドを実行することができました。

同様に、DataDog/datadog-iac-scannerリポジトリはファイル名注入の被害を受け、base64エンコードされたシェルコマンドがファイル名に隠されており、ワークフロー内のシェルコマンドを通じて実行されました。

最も創意的なテクニックの1つはambient-code/platformリポジトリで使用されるAIコードレビューアーであるClaude Codeの操作に関わるものでした。

HackerbotClawはCLAUDE.md設定ファイルに悪意のあるプロンプトを注入し、AIを欺いて許可されていない変更をコミットし、偽の「Approved」レビューを投稿しようとしました。

このタイプの攻撃は、AI駆動型ボットが他のAIエージェントを標的にする新興トレンドを実証していました。

このキャンペーンはCI/CDパイプラインと開発環境を標的とするサイバー攻撃の増加する高度化を強調しています。

GitHub Actionsを使用している組織は、Pwn Requests、スクリプト注入、その他の安全でない設定などの脆弱性を検出するための自動化されたガードレールを実装する必要があります。

さらに、異常な動作を監視し、データを流出させるために使用されるものなどの疑わしい外向きのネットワークコールを監視することは、潜在的なリスクを軽減するのに役立ちます。

この攻撃に対応して、DataDogを含む複数のメンテナーは、ワークフローを保護するための緊急修正をデプロイしました。

一方、Aqua Securityは侵害されたGitHubトークンをすぐに取り消し、Trivyリポジトリへのアクセスを復元しました。

ソフトウェア供給チェーンがより自動化されるにつれて、これらの環境をボット駆動型攻撃から保護することは、かつてないほど重要になっています。

開発者と組織は、自動化されたセキュリティツールと警戒監視を組み合わせた多層防御戦略を採用して、これらの進化する脅威の1歩先を行く必要があります。

翻訳元: https://cyberpress.org/hackerbot-claw-exploits-github-flaw/

ソース: cyberpress.org
#AIセキュリティ #CI/CDセキュリティ #GitHub Actions脆弱性 #Pwn Request #オープンソースセキュリティ #コード注入攻撃 #サプライチェーン攻撃 #自動化攻撃 #認証情報盗難 #開発環境攻撃

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に