Una auditoría de seguridad de 2.857 habilidades en ClawHub encontró 341 habilidades maliciosas en múltiples campañas, según nuevos hallazgos de Koi Security, lo que expone a los usuarios a nuevos riesgos en la sujeción de suministro.
ClawHub es un mercado diseñado para suministrar a los usuarios de OpenClaw la búsqueda e instalación de habilidades de terceros. Es una extensión del tesina OpenClaw, un asistente de inteligencia industrial (IA) autohospedado anteriormente conocido como Clawdbot y Moltbot.
El observación, que Koi realizó con la ayuda de un bot de OpenClaw llamado Alex, encontró que 335 habilidades utilizan requisitos previos falsos para instalar un carero de Apple macOS llamado Atomic Stealer (AMOS). Este conjunto ha sido afamado en código. GarraHavoc.
“Instalas lo que parece una tacto legítima, tal vez solana-wallet-tracker o youtube-summarize-pro”, dijo el investigador de Koi Oren Yomtov. “La documentación de la tacto parece profesional. Pero hay una sección de ‘Requisitos previos’ que dice que primero debes instalar poco”.
Este paso incluye instrucciones para sistemas Windows y macOS: en Windows, se solicita a los usuarios que descarguen un archivo llamado “openclaw-agent.zip” desde un repositorio de GitHub. En macOS, la documentación les indica que copie un script de instalación alojado en glot(.)io y lo pegue en la aplicación Terminal. El objetivo de macOS no es una coincidencia, ya que han surgido informes de personas que compran Mac Minis para ejecutar el asistente de IA las 24 horas del día, los 7 días de la semana.
En el interior del archivo protegido con contraseña hay un troyano con funcionalidad de registro de teclas para capturar claves API, credenciales y otros datos confidenciales en la máquina, incluidos aquellos a los que el bot ya tiene ataque. Por otro flanco, el script glot(.)io contiene comandos de shell ofuscados para recuperar cargas enseres de la futuro etapa desde una infraestructura controlada por el atacante.
Esto, a su vez, implica comunicarse con otra dirección IP (“91.92.242(.)30”) para recuperar otro script de shell, que está configurado para contactar al mismo servidor para obtener un binario Mach-O universal que exhibe características consistentes con Atomic Stealer, un carero de productos habitable por $500-1000/mes que puede recoger datos de hosts macOS.
Según Koi, las habilidades maliciosas se hacen tener lugar por
- Typosquats de ClawHub (p. ej., clawhub, clawhub1, clawhubb, clawhubcli, clawwhub, cllawhub)
- Herramientas de criptomonedas como billeteras Solana y rastreadores de billeteras
- Bots de Polymarket (por ejemplo, Polymarket-Trader, Polymarket-Pro, PolyTrading)
- Utilidades de YouTube (p. ej., youtube-summarize, youtube-thumbnail-grabber, youtube-video-downloader)
- Actualizadores automáticos (p. ej., agente de puesta al día cibernética, puesta al día, actualizador)
- Herramientas de finanzas y redes sociales (p. ej., yahoo-finance-pro, x-trends-tracker)
- Herramientas de Google Workspace que afirman tener integraciones con Gmail, Calendar, Sheets y Drive
- Rastreadores de gas Ethereum
- Buscadores de Bitcoin perdidos
Encima, la compañía de ciberseguridad dijo que identificó habilidades que ocultan puertas traseras de shell invertidas internamente del código eficaz (por ejemplo, Better-polymarket y Polymarket-all-in-one), o filtran las credenciales del bot presentes en “~/.clawdbot/.env” a un sitio webhook(.) (por ejemplo, rankingaj).
El ampliación coincide con un referencia de OpenSourceMalware, que asimismo señaló la misma campaña ClawHavoc dirigida a los usuarios de OpenClaw.
“Las habilidades se hacen tener lugar por herramientas de automatización del comercio de criptomonedas y entregan malware para robar información a los sistemas macOS y Windows”, dijo un investigador de seguridad que utiliza el apodo en vírgula 6mile.
“Todas estas habilidades comparten la misma infraestructura de comando y control (91.92.242(.)30) y utilizan ingeniería social sofisticada para convencer a los usuarios de ejecutar comandos maliciosos, que luego roban activos criptográficos como claves API de intercambio, claves privadas de billetera, credenciales SSH y contraseñas del navegador”.
OpenClaw agrega una opción de informes
El problema surge del hecho de que ClawHub está extenso de forma predeterminada y permite que cualquiera cargue habilidades. La única restricción en esta etapa es que un editor debe tener una cuenta de GitHub que tenga al menos una semana de decrepitud.
El problema con las habilidades maliciosas no pasó desapercibido para el creador de OpenClaw, Peter Steinberger, quien desde entonces lanzó una función de informes que permite a los usuarios registrados marcar una tacto. “Cada beneficiario puede tener hasta 20 informes activos a la vez”, afirma la documentación. “Las habilidades con más de 3 informes únicos se ocultan automáticamente de forma predeterminada”.
Los hallazgos subrayan cómo los actores de amenazas continúan abusando de los ecosistemas de código extenso, quienes ahora se aprovechan de la repentina popularidad de OpenClaw para orquestar campañas maliciosas y distribuir malware a escalera.
En un referencia de la semana pasada, Palo Stop Networks advirtió que OpenClaw representa lo que el programador inglés Simon Willison, quien acuñó el término inyección rápida, describe como una “trifecta venenoso” que hace que los agentes de IA sean vulnerables por diseño adecuado a su ataque a datos privados, exposición a contenido no confiable y la capacidad de comunicarse externamente.
La intersección de estas tres capacidades, combinada con la memoria persistente de OpenClaw, “actúa como un acelerador” y amplifica los riesgos, añadió la empresa de ciberseguridad.
“Con la memoria persistente, los ataques ya no son sólo ataques puntuales. Se convierten en ataques con estado y de ejecución retrasada”, dijeron los investigadores Sailesh Mishra y Sean P. Morgan. “Las cargas enseres maliciosas ya no necesitan activar la ejecución inmediata en el momento de la entrega. En cambio, pueden ser entradas fragmentadas y no confiables que parecen benignas de forma aislada, se escriben en la memoria del agente a generoso plazo y luego se ensamblan en un conjunto de instrucciones ejecutables”.
“Esto permite la inyección rápida en diferido, el envenenamiento de la memoria y la activación estilo proyectil método, donde el exploit se crea en el momento de la ingestión pero detona sólo cuando el estado interno, los objetivos o la disponibilidad de la utensilio del agente se alinean”.
