Атака ClawHavoc: отравление экосистемы OpenClaw через сотни вредоносных «скиллов» в официальном маркетплейсе

Кампания эксплуатировала доверие пользователей к официальному репозиторию ClawHub, который служит рынком для расширений (Skills) фреймворка OpenClaw - открытого ИИ-агента, ранее известного как ClawdBot и Moltbot. Эти скиллы значительно расширяют возможности агента, позволяя автоматизировать задачи в сферах криптовалют, социальных сетей и повышения производительности. Ключевая опасность заключается в том, что OpenClaw предоставляет таким плагинам широкий доступ к системе, включая выполнение shell-команд, операции с файлами и интеграцию с API. Таким образом, компрометация всего одного скилла может привести к полному контролю злоумышленника над устройством жертвы.

Исследователи из компании Koi первыми обнаружили вредоносную активность 1 февраля 2026 года. Первоначальный аудит 2857 скиллов выявил 341 опасный плагин, что указывало на скоординированную операцию. Однако по мере стремительного роста маркетплейса - к середине февраля в нём было уже более 10 700 скиллов - масштабы кампании только увеличивались. Последующие проверки показали, что число вредоносных расширений выросло до 824, и они проникли практически во все категории, от инструментов для работы с Solana и Polymarket до утилит для YouTube и интеграций с Google Workspace. Злоумышленники постоянно адаптировали методы, добавив около 25 новых вариантов атак, включая инструменты для автоматизации браузера, агентов для написания кода и даже ироничные «фейковые» сканеры безопасности.

Тактика обмана была отточена. Вредоносные скиллы тщательно маскировались под легитимные инструменты, сопровождаясь профессионально выглядящей документацией в файлах SKILL.md. Чтобы убедить пользователя выполнить опасные действия, в документации создавался раздел «Prerequisites» (предварительные требования). Для пользователей Windows инструкции вели к загрузке защищённых паролем ZIP-архивов с GitHub, что помогало обходить автоматическое сканирование на вирусы. Владельцам macOS предлагалось вставить в терминал зашифрованные в base64 команды, которые при декодировании запускали скрипты, загружающие вторую стадию вредоносного ПО с инфраструктуры злоумышленников, часто используя такие сервисы, как glot[.]io или rentry[.]co.

Основной полезной нагрузкой для систем macOS стал Atomic macOS Stealer (AMOS), продвинутый сборщик данных. Этот зловред использует расшифровку строк во время выполнения, поддельные запросы паролей для повышения привилегий и рекурсивное копирование каталогов для сбора информации. Собранные данные, включая браузерные профили, связки ключей Keychain, данные более чем 60 криптокошельков, сессии Telegram, SSH-ключи и документы, архивируются и отправляются на сервер управления. Другие варианты атак включали Python-скрипты, скрывающие вызовы командной оболочки для установки обратных оболочек внутри функционального кода, а также JavaScript, который напрямую выгружал конфиденциальные файлы окружения (например, "~/.clawdbot/.env" с токенами ИИ-сервисов) на вебхуки злоумышленников.

Особую изощрённость демонстрировали отдельные скиллы, которые внедряли бэкдоры в, казалось бы, рабочие функции, например, в скрипты поиска для Polymarket. Это позволяло долгое время оставаться незамеченными. Кроме того, злоумышленники использовали типосквоттинг, создавая скиллы с названиями, похожими на популярные легитимные, чтобы перехватывать невнимательных пользователей. Как отмечают аналитики, наиболее скачиваемым заражённым скиллом стал «What Would Elon Do», что подчёркивает эффективность социальной инженерии, нацеленной на любопытство и желание пользователей получить эксклюзивный функционал.

Кампания не ограничилась только загрузкой плагинов. На этой неделе была зафиксирована связанная активность, когда злоумышленники стали оставлять мошеннические комментарии под популярными скиллами на ClawHub, например, для интеграций с Trello, Slack и Gog. Выдавая себя за других пользователей, предлагающих «решение проблемы», они направляли жертв к тем же вредоносным командам или загрузкам. Этот тактический сдвиг на использование функций сообщества для социальной инженерии обходит попытки администрации маркетплейса очистить каталог от отравленных пакетов, демонстрируя адаптивность угрозы. Часть этой инфраструктуры, включая IP-адрес 91.92.242[.]30, ранее связывалась с деятельностью португалоязычной киберпреступной группировки Poseidon.

Происхождение угрозы, по данным исследователей, может быть связано с китайскоязычными акторами, а основной автор под именем hightower6eu загрузил наибольшее количество вредоносных пакетов. При этом некоторые из множества аккаунтов, использовавшихся в кампании, могли быть скомпрометированы, а не изначально созданы злоумышленниками. Инцидент ClawHavoc высвечивает системные проблемы безопасности в новых экосистемах ИИ-агентов: открытая публикация с минимальной проверкой, модель выполнения с высокими привилегиями и скорость роста, опережающая внедрение защитных контролей.

В качестве рекомендаций специалистам по информационной безопасности и пользователям OpenClaw следует немедленно провести аудит установленных скиллов, отозвать все API-токены и учётные данные, которые могли быть скомпрометированы, и избегать установки непроверенных интеграций. На уровне инфраструктуры необходимо применять системы обнаружения вредоносной активности на конечных точках (Endpoint Detection and Response, EDR), способные выявлять подозрительные действия, такие как выполнение обфусцированных команд в терминале или несанкционированный доступ к файлам окружения. Разработчикам же подобных платформ стоит задуматься о внедрении обязательной верификации издателей, песочниц для выполнения кода скиллов и более строгих процедур модерации контента до его публикации в официальных репозиториях.

SHA256

• 053f09ea69d13cdabb9501ce82e418329beb8e75a02d25e5a2f79de12d56ffa2
• 0ae5ce9b8d4e6cbdaeaccb4e844c0a88a74dbb778383e282e75b9067ec3146e2
• 0e52566ccff4830e30ef45d2ad804eefba4ffe42062919398bf1334aab74dd65
• 17703b3d5e8e1fe69d6a6c78a240d8c84b32465fe62bed5610fb29335fe42283
• 1e6d4b0538558429422b71d1f4d724c8ce31be92d299df33a8339e32316e2298
• 23adae592b1dab3823d212ebad6830aee1a6e17e8fbffac1bf13514ed53a4148
• 30f97ae88f8861eeadeb54854d47078724e52e2ef36dd847180663b7f5763168
• 358881709e7c9cb4097c9a7ea99d8cfa82d7b076a4305884a9825774d8e45765
• 5cae50d8df26cbaedab1b12fa624dc24ebbe382db7823530ae60781adffebc45
• 7666f7ca1d82db135527e91e3f94b4361a2e85dee609dec839c38925e0c18acc
• 768a133c4189f63fb37a4718eaa395209d0e61aaa7af1cb9f233224f285baf42
• 8187af54384bd5939c8d0ebe745168f03c90c357d02cea855af139418cf2e673
• 9168298d34d75424a0e51f04258e80e1322bf0fe1f24729ca6c0c032c1298914
• 95fb8f28d08e19090443bda8bd71bbb79f7c451288a2de6f1ca0ad6fee8b4569
• 998c38b430097479b015a68d9435dc5b98684119739572a4dff11e085881187e
• a63f2109703a38963e9dcbabca1d25c730603b3d6b70e8a4d41bdf2c612f20d0
• ab267488d2c0a6300b61b5c9046cb86fe4a9ac3fe9a615acd374465b3a4b26c2
• af824b9e2c1836b1b433f4d383e168bd3ce64e8c41018073a9f4d9a710aa075f
• cd3b481528542c8bac595a6c2c26fe4fd78b1495e4edcc3bd4512d7e7455ec7a
• d781d5cabaf5f305bbb8afcd9a54d7ba616bfa7aef5c4d16f6bce3d2bf3b4073
• e06f1a80e17e738521597530a87919ba29ae92affb781821db216161eff60fb3
• e3b5a5dbbccab4cf36c7abf5cb5ae83062dd1b5dee7db04bddbf53fc9ebdb233
• ec2920e56f2f62c6a2ed1242747980f6f7343c2404b7ae9a6e975b66b1c24b6d
• f0a54f2b44e557854b0a5001c4e10185884af945814786f78b86539014f78a16
• f2cb9de40cb8b7e13e7d2b0b3e426f8503781a35d8bba3715395430e9b5eeb38