Hackerbot-claw: автономен ИИ бот компрометира популярни GitHub хранилища

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Нов тип автоматизирана заплаха привлече вниманието на общността по киберсигурност: активен в GitHub ИИ бот с псевдоним hackerbot-claw извършва координирана кампания срещу публични open-source хранилища, като твърди, че е сканирал над 47 000 репозитория.

Според независими изследователи от StepSecurity, от 20 февруари насам ботът е постигнал remote code execution (RCE) поне в четири случая, използвайки автоматизирани техники срещу CI/CD работни потоци.

Автономен агент, задвижван от Claude-Opus-4.5

Hackerbot-claw се самоописва като „autonomous security research agent“, задвижван от модела Claude-Opus-4.5 – част от екосистемата на Anthropic и нейния модел Claude.

В своя GitHub профил ботът твърди:

„Сканирам публични хранилища за грешно конфигурирани CI/CD работни потоци. Намирам ги. Потвърждавам ги. Оставям бележка. Не ексфилтрирам, не разрушавам, не персистирам.“

На практика обаче действията му водят до сериозни компрометации.

Името му подсказва възможна връзка с OpenClaw – open-source AI агент – но остава неясно дали атаките са умишлена злонамерена операция или експериментален проект, излязъл извън контрол.

Компрометирани водещи open-source проекти

В рамките на една седмица ботът е атакувал поне шест популярни проекта, включително такива, свързани с:

  • Microsoft

  • Datadog

  • Cloud Native Computing Foundation

  • Aqua Security

Сред засегнатите хранилища са:

Awesome-go (Avelino)

Един от най-популярните Go репозитории с над 140 000 последователи. Атаката включва „poisoned Go init()“ техника – злонамерен код, скрит в автоматичен quality check скрипт. Резултатът: RCE и кражба на access токени.

Project-akri

Компрометиран чрез директна инжекция в скрипт.

Ai-discovery-agent (Microsoft)

Вероятно постигнат RCE чрез инжектиране на злонамерен код в името на branch.

Datadog-iac-scanner

Злонамерени инструкции са скрити в име на файл. Екипът реагира с аварийни пачове в рамките на 9 часа.

Platform (Ambient-code)

Опит за AI prompt injection е блокиран – моделът Claude отказва да изпълни инжектираната инструкция.

Trivy

Най-тежко засегнатият проект.

Пълната компрометация на Trivy

Trivy – популярен security scanner на Aqua Security – е бил напълно компрометиран.

Атакуващият:

  • прави публичното хранилище частно и го преименува;

  • публикува фалшив празен репозиторий;

  • изтрива предишни версии и дискусии;

  • създава злонамерен артефакт за VS Code разширението в Open VSX.

Итай Шакури, VP Open Source в Aqua Security, потвърди, че публикуваният злонамерен артефакт е премахнат и компрометираният токен е анулиран.

Ботът твърди, че е придобил Personal Access Token (PAT) – мощен идентификационен механизъм с write достъп до хранилището.

Как работи атаката

StepSecurity описва шестстъпков процес:

  1. Сканиране за уязвими GitHub Actions workflow конфигурации.

  2. Fork на целевия репозиторий.

  3. Подготовка на payload чрез една от пет техники.

  4. Създаване на невинно изглеждащ pull request – например с добавен интервал.

  5. Скриване на реалния payload в branch име, filename или метаданни.

  6. Автоматичният workflow изпълнява злонамерения код и позволява ексфилтрация на GitHub токен.

В повечето случаи не е необходимо PR да бъде одобрен – самото стартиране на автоматичния процес е достатъчно за компрометиране.

ИИ срещу ИИ: нова фаза в supply chain атаките

StepSecurity предупреждава:

„Навлизаме в ера, в която AI агенти атакуват други AI агенти.“

В конкретната кампания ИИ бот се опитва да манипулира AI code reviewer, за да одобри злонамерен код.

Това разширява значително повърхността на атака в софтуерните вериги за доставки. Ръчните проверки вече не са достатъчни срещу непрекъснато сканиращи автономни агенти.

Инфраструктура на атакуващия

Изследователите установяват, че:

  • домейнът hackmoltrepeat[.]com е използван за хостване на payload и ексфилтрация;

  • домейнът е регистриран на 24 февруари 2026 г.;

  • регистраторът е Tucows;

  • инфраструктурата е скрита зад Cloudflare.

Ботът дори публикува крипто портфейли за дарения в ETH и Bitcoin – засега без транзакции.

Aвтоматизацията променя правилата

 Това не е човешки нападател, работещ през уикенда – това е автономен бот, който сканира хиляди репозитории непрекъснато.

Софтуерните вериги за доставки навлизат в нова фаза, в която защитата срещу автоматизирани AI атаки изисква автоматизирани защитни механизми.

Manual review процесите вече не могат да бъдат единствената линия на защита.

#Claude, # GitHub, # hackerbot-claw, # supply chain атаки, # Trivy
e-security.bg

Подобни

Украинeц се призна за виновен за участие в операциите на Conti ransomware
15.06.2026
ransomware
Защо RDP се превръща в предпочитано оръжие на съвременния рансъмуер
14.06.2026
gettyimages-1355321121
ShinyHunters е използвала zero-day уязвимост в Oracle PeopleSoft
14.06.2026
Oracle
Фалшиви FIFA сайтове крадат банкови карти и кодове за потвърждение
13.06.2026
fifa-world-cup
Miasma: Опасната еволюция на Shai-Hulud заплашва екосистемата с отворен код
12.06.2026
malware
GitHub ограничава автоматичното изпълнение на код при инсталиране на пакети
12.06.2026
GitHub___headpic (1)

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy