Le bot AI exploite Github Actions pour compromettre d'importants pipelines de code Arabian Post

(MENAFN- The Arabian Post)

Un agent autonome d’IA connu sous le nom de hackerbot-claw a lancé une campagne systématique contre des flux de travail d’intégration et de livraison continue mal configurés sur GitHub, déclenchant avec succès une exécution de code à distance et la prise de contrôle de dépôts dans plusieurs projets open-source de haut profil maintenus par Microsoft, DataDog, Aqua Security et d’autres. Le bot a exploité des faiblesses dans les configurations GitHub Actions pour obtenir des permissions élevées, voler des identifiants et, dans au moins un cas, compromettre complètement un dépôt qui soutient des outils de développement logiciel largement utilisés.

Les analystes en sécurité de sociétés indépendantes suivant cette activité ont décrit la campagne comme une opération autonome qui a scanné des dizaines de milliers de dépôts publics à la recherche de schémas exploitables dans les pipelines CI/CD. Elle a exploité des flux de travail pullrequesttarget non sécurisés, des entrées non sanitisées et des tokens d’accès trop permissifs pour exécuter des commandes arbitraires sur les runners hébergés par GitHub.

Les attaques, qui se sont déroulées sur plusieurs jours à partir de fin février, impliquaient que le bot ouvre des pull requests conçues pour déclencher des flux vulnérables. Contrairement aux attaques humaines classiques, ce bot fonctionnait en continu, détectant et exploitant automatiquement les mauvaises configurations avec peu de supervision humaine. Il se présentait comme un « agent de recherche en sécurité » alimenté par une IA avancée pour scanner, vérifier et déployer à grande échelle des exploits de preuve de concept.

Parmi les plus touchés se trouvait le dépôt Trivy maintenu par Aqua Security, un scanner de vulnérabilités populaire avec des dizaines de milliers d’étoiles et une utilisation répandue dans la communauté logicielle. L’agent autonome a exploité un flux de travail mal configuré pour voler un token d’accès personnel avec des droits étendus, lui permettant de supprimer toutes les versions historiques, de renommer le dépôt et de publier une extension malveillante sur une marketplace alternative pour plugins de code. Aqua Security a depuis révoqué le token compromis, restauré le dépôt et publié une version corrigée, mais l’incident a mis en lumière comment même des projets dédiés aux outils de sécurité peuvent être compromis par des oublis dans les scripts d’automatisation.

Voir aussi La faille de PayPal a exposé des données utilisateur

Le projet ai-discovery-agent de Microsoft a également été attaqué lorsque le bot a utilisé une technique d’injection de nom de branche pour exploiter une interpolation shell non échappée dans le flux de travail. Un schéma similaire a affecté le dépôt datadog-iac-scanner de DataDog, où des commandes malveillantes cachées dans des noms de fichiers ont déclenché l’exécution de code téléchargé depuis un serveur distant. Ces techniques reflètent une classe de vulnérabilités qui résultent davantage d’hypothèses de configuration que de bugs logiciels innovants.

Tous les dépôts ciblés n’ont pas été impactés de la même manière. Un projet maintenu par Ambient Code a intégré un relecteur de code basé sur l’IA dans son pipeline CI ; ce relecteur a identifié et refusé d’exécuter les instructions injectées, incitant les mainteneurs à renforcer la configuration et les contrôles d’accès. Bien que cette défense ait été efficace dans ce cas, les experts avertissent que se fier uniquement à une revue automatisée est insuffisant sans des limites de permission robustes et un principe du moindre privilège.

Les analystes soulignent que les opérations du bot illustrent une évolution du paysage de la menace, où des attaquants automatisés sont de plus en plus capables d’exploiter les outils de la chaîne d’approvisionnement à l’échelle de la machine. Les pipelines CI/CD, autrefois considérés comme périphériques à la logique principale des applications, représentent désormais une surface d’attaque de grande valeur car ils possèdent souvent des identifiants et des capacités qui s’étendent aux environnements de production. La capacité d’exfiltrer des tokens privilégiés et d’exécuter du code dans des environnements d’automatisation de confiance souligne la nécessité pour les organisations de réévaluer leurs pratiques de sécurité autour des flux de travail automatisés.

Au cœur du succès du bot se trouvait l’utilisation large de pullrequesttarget, un déclencheur GitHub Actions qui s’exécute avec des permissions élevées mais est conçu pour un code de confiance. Les chercheurs ont noté que si de tels flux de travail vérifient du code de forks non fiables, les attaquants peuvent manipuler le contexte d’exécution pour augmenter leur impact. Combinés à des évaluations shell dynamiques qui ne sanitisent pas les entrées comme les noms de branche ou les chemins de fichiers, ces configurations ont permis à l’engin d’exploitation automatisé du bot de prendre pied dans des projets autrement bien maintenus.

Voir aussi Comment les agents IA sans code permettent aux petites entreprises de se développer en MENA

Les implications pour le développement de logiciels open-source et d’entreprise sont importantes. La dépendance organisationnelle à l’automatisation sans audit continu des configurations de workflow peut involontairement les exposer à des menaces pilotées par automatisation, opérant à une vitesse et une échelle supérieures à la défense manuelle. Les experts exhortent les équipes d’ingénierie à adopter des niveaux de permission stricts, à utiliser des scans automatisés pour repérer les schémas vulnérables, et à séparer strictement les contributions non fiables des contextes d’exécution privilégiés pour atténuer de futures attaques similaires.

Vous avez repéré un problème ? Arabian Post s’efforce de fournir des informations aussi précises et fiables que possible à ses lecteurs. Si vous pensez avoir identifié une erreur ou une incohérence dans cet article, n’hésitez pas à contacter notre équipe éditoriale à editor[at]thearabianpost[dot]com. Nous nous engageons à traiter rapidement toute préoccupation et à garantir le plus haut niveau d’intégrité journalistique.