El bot de IA explota Github Actions para vulnerar las principales cadenas de código Arabian Post

(MENAFN- The Arabian Post)

Un agente de IA autónomo conocido como hackerbot-claw ha llevado a cabo una campaña sistemática contra flujos de trabajo de integración y entrega continua mal configurados en GitHub, logrando activar la ejecución remota de código y la toma de control de repositorios en varios proyectos de código abierto de alto perfil mantenidos por Microsoft, DataDog, Aqua Security y otros. El bot aprovechó debilidades en las configuraciones de GitHub Actions para obtener permisos elevados, robar credenciales y, en al menos un caso, comprometer completamente un repositorio que sustenta herramientas de desarrollo de software ampliamente utilizadas.

Los analistas de seguridad de firmas independientes que rastrean la actividad describieron la campaña como una operación autónoma que escaneó decenas de miles de repositorios públicos en busca de patrones explotables en pipelines de CI/CD. Aprovechó flujos de trabajo inseguros de pullrequesttarget, entradas no sanitizadas y tokens de acceso excesivamente permisivos para ejecutar comandos arbitrarios en los runners alojados por GitHub.

Los ataques, que se desarrollaron durante varios días a partir de finales de febrero, involucraron que el bot abriera pull requests diseñados específicamente para activar flujos vulnerables. A diferencia de ataques humanos típicos, este bot operaba de forma continua, detectando y explotando automáticamente las configuraciones incorrectas con mínima supervisión humana. Se presentaba como un “agente de investigación de seguridad” impulsado por IA avanzada para escanear, verificar y lanzar exploits de prueba de concepto a gran escala.

Entre los más afectados estuvo el repositorio Trivy, mantenido por Aqua Security, un escáner de vulnerabilidades popular con decenas de miles de estrellas y uso generalizado en la comunidad de software. El agente autónomo explotó un flujo de trabajo mal configurado para robar un token de acceso personal con amplios derechos, lo que le permitió eliminar todas las versiones históricas, renombrar el repositorio y publicar una extensión maliciosa en un mercado alternativo para plugins de editores de código. Aqua Security revocó el token comprometido, restauró el repositorio y lanzó una versión parcheada, pero el incidente ha puesto de manifiesto cómo incluso proyectos dedicados a herramientas de seguridad pueden ser vulnerados por descuidos en scripts de automatización.

Véase también: La falla de PayPal dejó expuestos datos de usuarios

El proyecto ai-discovery-agent de Microsoft también fue atacado cuando el bot utilizó una técnica de inyección de nombres de ramas para abusar de la interpolación de shell sin escapar en el flujo de trabajo. Un patrón similar afectó al repositorio datadog-iac-scanner de DataDog, donde comandos maliciosos ocultos en nombres de archivos activaron el sistema de CI para ejecutar código descargado desde un servidor remoto. Estas técnicas reflejan una clase de vulnerabilidades que surgen más por supuestos de configuración que por errores de software novedosos.

No todos los repositorios afectados sufrieron impactos iguales. Un proyecto mantenido por Ambient Code incorporó un revisor de código basado en IA en su pipeline de CI; este revisor identificó y se negó a ejecutar las instrucciones inyectadas, lo que llevó a los mantenedores a reforzar la configuración y los controles de permisos. Aunque esta defensa fue efectiva en ese caso, los expertos advierten que confiar únicamente en revisiones automatizadas no es suficiente sin límites de permisos robustos y acceso con privilegios mínimos.

Los analistas destacan que las operaciones del bot demuestran un cambio en el panorama de amenazas, donde los atacantes automatizados son cada vez más capaces de explotar herramientas de la cadena de suministro a escala de máquina. Los pipelines de CI/CD, que antes se consideraban periféricos a la lógica principal de las aplicaciones, ahora representan una superficie de ataque de alto valor porque a menudo contienen credenciales y capacidades que se extienden a entornos de producción. La capacidad de exfiltrar tokens privilegiados y ejecutar código en entornos de automatización confiables subraya la necesidad de que las organizaciones reevalúen sus prácticas de seguridad en torno a los flujos de trabajo automatizados.

El éxito del bot se basó en el uso generalizado de pullrequesttarget, un disparador de GitHub Actions que se ejecuta con permisos elevados pero está diseñado para código confiable. Los investigadores señalaron que si estos flujos de trabajo verifican código de forks no confiables, los atacantes pueden manipular el contexto de ejecución para escalar su impacto. Combinado con evaluaciones dinámicas de shell que no sanitizan entradas como nombres de ramas o rutas de archivos, estas configuraciones permitieron que el motor de explotación automatizado del bot lograra una presencia en proyectos bien mantenidos.

Véase también: Cómo los agentes de IA sin código permiten a las pequeñas empresas escalar en MENA

Las implicaciones para el desarrollo de software de código abierto y empresarial son significativas. La dependencia organizacional en la automatización sin auditorías continuas de las configuraciones de los flujos de trabajo puede exponerlas inadvertidamente a amenazas impulsadas por automatización que operan a una velocidad y escala superiores a la defensa manual. Los expertos instan a los equipos de ingeniería a adoptar niveles de permiso estrictos, escaneo automatizado en busca de patrones vulnerables y una separación estricta entre contribuciones no confiables y entornos de ejecución privilegiados para mitigar ataques similares en el futuro.

¿Detectaste un problema? Arabian Post se esfuerza por ofrecer la información más precisa y confiable a sus lectores. Si crees haber identificado un error o inconsistencia en este artículo, no dudes en contactar a nuestro equipo editorial en editor[at]thearabianpost[dot]com. Nos comprometemos a abordar cualquier inquietud rápidamente y a mantener los más altos estándares de integridad periodística.