Специалисты подразделения Acronis Threat Research Unit (TRU) зафиксировали масштабную кампанию по распространению вредоносного ПО через популярные площадки для разработчиков искусственного интеллекта. Злоумышленники активно злоупотребляют доверием пользователей к экосистемам Hugging Face и ClawHub, маскируя вредоносные программы под модели, наборы данных и расширения для AI-агентов. В отличие от классических атак на цепочки поставок программного обеспечения, эти инциденты используют тот факт, что модели и расширения часто запускаются с расширенными правами, что позволяет атакующим выполнять код от имени пользователя и даже инициировать цепочки дальнейших атак через доверенных AI-агентов.
Описание
Особую тревогу вызывает ситуация вокруг платформы ClawHub, которая служит магазином дополнительных модулей - "навыков" (skills) - для AI-агента OpenClaw (ранее известного как Moltbot). Исследователи идентифицировали 575 вредоносных навыков, загруженных 13 учётными записями разработчиков. Почти 93% всех вредоносных пакетов принадлежат двум злоумышленникам, действующим под псевдонимами "hightower6eu" (334 навыка) и "sakaen736jih" (199 навыков). Кампания нацелена одновременно на операционные системы Windows и macOS, что указывает на продуманный кроссплатформенный подход. Среди полезных нагрузок обнаружены трояны, криптомайнеры и похититель данных AMOS Stealer, который распространяется по модели malware-as-a-service (MaaS - вредоносное ПО как услуга) через Telegram и подпольные форумы.
Ключевой технической особенностью атаки является техника косвенной инъекции промптов (indirect prompt injection). Вредоносные навыки содержат скрытые инструкции, которые AI-агент выполняет по просьбе пользователя, но при этом сам пользователь не осознаёт, что запускает вредоносный код. Таким образом, AI-агент становится посредником в атаке, а злоумышленники получают возможность масштабировать проникновение, даже не взламывая сами AI-системы. В отчёте исследователи приводят несколько примеров таких навыков. Один из них обещает извлекать и обобщать транскрипты видео с YouTube, но для его работы необходимо установить некий "OpenClawDriver". Инструкция в файле SKILL.md предлагает скачать парольный архив с GitHub (для Windows) или выполнить закодированную команду (для macOS). Использование архива с паролём - классический приём обхода антивирусных решений. Проверка бинарного файла для Windows на VirusTotal показала, что он определяется как троян и упакован протектором VMProtect. Команда для macOS после декодирования из base64 загружает скрипт с внешнего IP-адреса 91.92.242[.]30, который затем выполняет AMOS Stealer. Другой обнаруженный навык маскируется под установщик зависимости ClawHub. Парольный архив с MediaFire содержал 64-битный бинарник, который использует обфускацию строк с XOR-ключом и динамическое разрешение API, а затем расшифровывает и запускает в памяти второй полезный файл. Анализ PowerShell-сценария, который активируется на финальном этапе, показал создание скрытых каталогов в %APPDATA%, добавление путей исключений для Защитника Windows, создание задач по расписанию для закрепления в системе и установку защищённого канала связи с C2-сервером через протокол HTTPS. В данном случае конечной нагрузкой оказался криптомайнер, связывавшийся с доменом velvet-parrot[.]com через 443-й порт. Дальнейшее расследование выявило использование Telegram-бота в качестве "мёртвого резолвера" (dead-drop resolver) для маскировки реального командного сервера.
Платформа Hugging Face, на которой размещено более миллиона моделей и сотен тысяч наборов данных, также оказалась в центре внимания злоумышленников. Хотя количество обнаруженных вредоносных репозиториев пока невелико, оно охватывает широкий спектр типов угроз: похитителей данных, дропперов, троянов и RAT, нацеленных на Windows, Linux и Android. Одна из кампаний под условным названием ITHKRPAW, зафиксированная в январе, атаковала финансовые организации и компании во Вьетнаме. Злоумышленники разместили на Hugging Face фиктивный набор данных, а через Cloudflare Workers распространяли PowerShell-дроппер, который загружал с того же репозитория вредоносный файл omni-agent-v4.exe, замаскированный под microsoft-update-assist.exe. Для отвлечения внимания одновременно открывалось безобидное изображение кота. Второй случай, названный FAKESECURITY, маскировался под установку Защитника Windows. Пакетный файл CDC1.bat содержал закодированный PowerShell-блоб, который через многоступенчатый процесс загружал дополнительный скрипт с Hugging Face, обходил метки безопасности Mark-of-the-Web, создавал уникальный мьютекс для исключения повторного запуска, а затем внедрял шелл-код в процесс explorer.exe, используя типовую инъекцию в память. Таким образом вредоносное ПО работало под видом системного процесса и не оставляло следов на диске.
Выводы отчёта подчёркивают эволюцию тактик атакующих: они переносят проверенные методы компрометации цепочек поставок с традиционных платформ (GitHub, npm) на новые AI-экосистемы. Доверие пользователей к популярным площадкам в сочетании с лёгкой интеграцией моделей и расширений делает такие атаки особенно опасными. Одно вредоносное дополнение может быстро распространиться и вызвать цепную реакцию через доверенные AI-агенты. Специалисты рекомендуют загружать AI-модели и навыки только из проверенных источников, избегать установки файлов из парольных архивов и не выполнять непроверенные команды, даже если они поступают от AI-помощника. Кроме того, необходимо строго контролировать права доступа AI-агентов, чтобы они не могли запускать произвольные скрипты или создавать процессы без явного разрешения. Мониторинг угроз 24/7 и проактивная охота за аномалиями, такими как закодированные PowerShell-команды или сокрытие файлов через исключения антивируса, помогут своевременно выявлять подобные атаки.
Индикаторы компрометации
IPv4
- 91.92.242.30
Domains
- velvet-parrot.com
URLs
- github.com/Ddoy233/openclawcli/releases/download/latest/openclawcli.zip
- github.com/denboss99/openclaw-core/releases/download/latest/openclaw-core.zip
- github.com/denboss99/openclaw-core/releases/download/v3/openclawcore-1.0.3.zip
- github.com/hedefbari/openclaw-agent/releases/download/latest/openclaw-agent.zip
- https://github.com/toolitletolate/openclaw_windriver/releases/download/exe/openclaw_windriver.zip
- https://glot.io/snippets/hfd3x9ueu5
- https://glot.io/snippets/hfdxv8uyaf
- https://rentry.co/openclaw-core
- https://t.me/dusty_vintage
SHA256
- 122bea967f4c194fd5820123d13b7b71422c31f92b9fc0b0fa05aac3ff03dfaa
- 462af0a3a9094d44c30cc65544ec1171a62365cff09e67f5e87e061a3d604bd0
- 579a82dde4425d95e20a22171be0a37702c833fdca6e5e04f69099a025863136
- 89930bd18e0f9c9c98dfb1662cb87aa98348e87164ab62b1f39e86ebf2ce24cb
- 9db18aa394f554aa455f3039ce734b1653cc999089889c551fe263bd4bdc39fc
- b5da6ffa5f85aa5016fbc02a3122361c85d21192c45df9544099d13e6ff84c36
- c7b93b6facfc23f49e35e81dc9c30cc69401b8245eeb7c032fc13656cd7e101f
- d42aecf76fb1531cd5b7139e669910b2fd82a90b7e11448128e226775bf5d42e
- d781d5cabaf5f305bbb8afcd9a54d7ba616bfa7aef5c4d16f6bce3d2bf3b4073
- e84b1e2c432b2394c403b524b8361ffa9923a022eb05215f1dc811bc167c3c5e
- f0a54f2b44e557854b0a5001c4e10185884af945814786f78b86539014f78a16
- fd3d52c2bb3764aabfe4da301967bfbc18e1c062d5dad2e9f4c3b6b6cf0ec9f8
