Ces derniers jours, un bot IA autonome surnommé HackerBot Claw a ciblé les environnements GitHub Actions dans le cadre d’une campagne d’attaques. Ces cibles : des projets open source majeurs, et il est d’ailleurs parvenu à mettre chaos le célèbre scanner de vulnérabilités Trivy. Voici ce que l’on sait sur cette campagne particulièrement inquiétante.
L’avènement des attaques autonomes par IA
Vous voulez un exemple d’une attaque sur la chaîne d’approvisionnement réalisée par l’intelligence artificielle ? En voici un bel exemple. Entre le 21 et le 28 février 2026, un compte GitHub nommé hackerbot-claw a scanné massivement des dépôts GitHub publics pour déceler des problèmes de sécurité dans les workflows CI/CD.
Sur GitHub, le bot HackerBot Claw se décrit lui-même comme un agent de recherche en sécurité autonome propulsé par Claude Opus 4.5. Dans le cadre de son activité malveillante, ce bot a ouvert plus d’une douzaine de Pull Requests (PR) ciblées, mais ce n’est pas tout. Selon le rapport de StepSecurity, le taux de réussite est le suivant : sur les six dépôts majeurs ciblés, le bot a obtenu une exécution de code arbitraire (RCE) sur quatre d’entre eux. Son objectif étant de parvenir à exfiltrer des secrets, et notamment des jetons GITHUB_TOKEN disposant de droits d’écriture sur les sources.
Il s’avère que HackerBot Claw a ciblé des projets majeurs associés à Microsoft, DataDog, la CNCF (Cloud Native Computing Foundation), ainsi que des projets open source. Les chercheurs de StepSecurity indiquent une liste précise de cibles :
En lisant le rapport, une mention a attiré mon attention concernant Trivy : “Compromission complète”.
Le cas de la compromission de Trivy
Revenons sur le cas du projet Trivy, un scanner de vulnérabilités très populaire dans le monde DevOps, développé par Aqua Security. C’est un outil open source très pratique, notamment capable d’analyser les images Docker (on en avait parlé dans un article).
Suite à l’attaque orchestrée par le bot IA, le dépôt officiel a disparu totalement de GitHub ! La raison ? Suite à la compromission par l’intermédiaire de GitHub Actions, les mainteneurs de Trivy ont dû basculer le projet en privé pour nettoyer les traces de l’intrusion.
En réalité, hackerbot-claw a réussi à déclencher un workflow via un commit poussé par un autre bot, aqua-bot. “Le fait que la validation ait été effectuée par aqua-bot — et non par le compte de l’attaquant — suggère que ce dernier a peut-être compromis les identifiants du bot ou utilisé un jeton volé pour effectuer des validations sous l’identité du bot, à l’instar de l’exfiltration de GITHUB_TOKEN dans l’attaque awesome-go.”, précisent les chercheurs.
Désormais, le projet Trivy a été remis en ligne sur GitHub, avec à la clé une nouvelle version : 0.69.2. Bien que tout le contenu soit là, y compris l’ensemble des précédentes versions, il y a bien eu une réinitialisation complète via la création d’un nouveau dépôt, comme le prouve le nombre d’étoiles GitHub. Seulement 147 à l’heure actuelle, alors que ce projet en comptait plus de 20 000.
Cet incident de sécurité a été confirmé par l’équipe d’Aqua Security, via un post sur GitHub. “Trivy a été attaqué aujourd’hui via GitHub Actions, tout comme d’autres projets populaires […]. Nous pensons que la vulnérabilité provenait d’un workflow GitHub Actions spécifique que nous avons déjà corrigé.”, peut-on lire.
Il y a un point qui mérite une attention particulière dans le post d’Aqua Security : un artefact malveillant a été introduit dans l’extension Trivy pour VS Code.
“Un artefact malveillant a été créé pour l’extension vscode de Trivy (https://github.com/aquasecurity/trivy-vscode-extension) et publié sur Open VSIX marketplace (une place de marché alternative à la place de marché officielle VSCode). Nous avons supprimé cet artefact et révoqué le jeton utilisé pour le publier.”, peut-on lire.
Le communiqué n’évoque pas l’impact éventuel de cette compromission, que ce soit au niveau de Trivy ou de son extension VS Code.
Enfin, sachez qu’il y a également eu une attaque réussie sur le dépôt awesome-go. Le bot a exploité une mauvaise configuration du trigger pull_request_target pour exécuter du code malveillant, et il a pu également mettre la main sur le jeton GITHUB_TOKEN.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.