Una auditoría de seguridad de 2.857 habilidades en ClawHub encontró 341 habilidades maliciosas en varias campañas, según nuevos hallazgos de Koi Security, exponiendo a los usuarios a nuevos riesgos en la cadena de suministro.

Claw Hub es un mercado diseñado para facilitar las cosas a Ley abierta usuarios para encontrar e instalar habilidades de terceros. Es una extensión del proyecto OpenClaw, un asistente de inteligencia artificial (IA) autohospedado anteriormente conocido como Clawdbot y Moltbot.

El análisis, que Koi llevó a cabo con la ayuda de un bot de OpenClaw llamado Alex, descubrió que 335 habilidades utilizan requisitos previos falsos para instalar un ladrón de macOS de Apple llamado Robador atómico (AMOS). Este conjunto tiene un nombre en código Claw Havoc .

«Instalas lo que parece una habilidad legítima, tal vez solana-wallet-tracker o youtube-summarize-pro», dijo el investigador de Koi Oren Yomtov. «La documentación de la habilidad tiene un aspecto profesional. Pero hay una sección de «requisitos previos» en la que se indica que primero hay que instalar algo».

Este paso incluye instrucciones para los sistemas Windows y macOS: en Windows, se pide a los usuarios que descarguen un archivo llamado "openclaw-agent.zip" de un repositorio de GitHub. En macOS, la documentación les indica que deben copiar un script de instalación alojado en glot [.] io y pegarlo en la aplicación Terminal. La segmentación de macOS no es una coincidencia, como lo han hecho los informes surgido de personas comprar Mac Minis para ejecutar el asistente de IA las 24 horas del día, los 7 días de la semana.

En el archivo protegido con contraseña hay un troyano con función de registro de teclas para capturar las claves de API, las credenciales y otros datos confidenciales de la máquina, incluidos aquellos a los que el bot ya tiene acceso. Por otro lado, el script glot [.] io contiene comandos de shell confusos para extraer las cargas útiles de la próxima fase desde una infraestructura controlada por un atacante.

Esto, a su vez, implica acceder a otra dirección IP («91.92.242 [.] 30") para recuperar otro script de shell, que está configurado para contactar con el mismo servidor y obtener un binario Mach-O universal con características similares a las de Atomic Stealer, un ladrón de productos básicos disponible por entre 500 y 1000 dólares al mes que puede recopilar datos de servidores macOS.

Según Koi, las habilidades maliciosas se disfrazan de

  • Typosquats de ClawHub (p. ej., clawhub, clawhub1, clawhubb, clawhubcli, clawhub, cllawhub)
  • Herramientas de criptomonedas como las carteras Solana y los rastreadores de carteras
  • Bots de Polymarket (p. ej., polymarket-trader, polymarket-pro, polytrading)
  • Utilidades de YouTube (p. ej., resumen de YouTube, capturador de miniaturas de YouTube, descargador de vídeos de YouTube)
  • Actualizadores automáticos (p. ej., agente de actualización automática, actualización, actualizador)
  • Herramientas financieras y de redes sociales (por ejemplo, yahoo-finance-pro, x-trends-tracker)
  • Herramientas de Google Workspace que afirman estar integradas con Gmail, Calendar, Sheets y Drive
  • Rastreadores de gas Ethereum
  • Buscadores de Bitcoin perdidos

Además, la empresa de ciberseguridad dijo que había identificado habilidades que ocultaban puertas traseras inversas dentro del código funcional (por ejemplo, mejor polimercado y polimercado todo en uno) o que filtraban las credenciales de los bots presentes en «~/.clawdbot/.env» a un sitio de webhooks [.] (por ejemplo, rankaj).

El desarrollo coincide con un informe de OpenSourceMalware, que también señaló la misma campaña de ClawHavoc dirigida a los usuarios de OpenClaw.

«Las habilidades se hacen pasar por herramientas de automatización del comercio de criptomonedas y entregan malware que roba información a los sistemas macOS y Windows», un investigador de seguridad que usa el alias en línea 6mile dijo .

«Todas estas habilidades comparten la misma infraestructura de comando y control (91.92.242 [.] 30) y utilizan una ingeniería social sofisticada para convencer a los usuarios de que ejecuten comandos maliciosos, que luego roban criptoactivos como las claves de API de intercambio, las claves privadas de las carteras, las credenciales SSH y las contraseñas de los navegadores».

OpenClaw añade una opción de generación de informes

El problema se debe al hecho de que ClawHub está abierto de forma predeterminada y permite a cualquier persona subir habilidades. La única restricción en este momento es que un editor debe tener una cuenta de GitHub que tenga al menos una semana de antigüedad.

El problema con las habilidades maliciosas no ha pasado desapercibido del creador de OpenClaw, Peter Steinberger, quien desde entonces ha lanzado una función de informes que permite a los usuarios que han iniciado sesión marcar una habilidad. «Cada usuario puede tener hasta 20 informes activos a la vez», dice la documentación estados . «Las habilidades con más de 3 informes únicos se ocultan automáticamente de forma predeterminada».

Los hallazgos subrayan cómo los actores de amenazas siguen abusando de los ecosistemas de código abierto, que ahora se están aprovechando de la repentina popularidad de OpenClaw para orquestar campañas maliciosas y distribuir malware a gran escala.

En un informe publicado la semana pasada, Palo Alto Networks advirtió que OpenClaw representa lo que el programador británico Simon Willison, que acuñó el término inyección rápida, describe como» trifecta letal «eso hace que los agentes de IA sean vulnerables por diseño debido a su acceso a datos privados, su exposición a contenido no confiable y la capacidad de comunicarse externamente.

La intersección de estas tres capacidades, combinada con la memoria persistente de OpenClaw, «actúa como un acelerador» y amplifica los riesgos, agregó la empresa de ciberseguridad.

«Con la memoria persistente, los ataques ya no son solo exploits puntuales. Se convierten en ataques sistemáticos de ejecución retrasada», afirman los investigadores Sailesh Mishra y Sean P. Morgan dijo . «Las cargas maliciosas ya no necesitan activar su ejecución inmediata en el momento de la entrega. Por el contrario, pueden ser entradas fragmentadas y poco fiables que parecen benignas de forma aislada, se escriben en la memoria del agente a largo plazo y, posteriormente, se agrupan en un conjunto de instrucciones ejecutables».

«Esto permite la inyección rápida en el tiempo, el deterioro de la memoria y la activación al estilo de una bomba lógica, en la que el exploit se crea en el momento de la ingestión, pero solo detona cuando el estado interno, los objetivos o la disponibilidad de las herramientas del agente coinciden».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.