Киберпреступники атаковали репозитории навыков для ИИ-ассистентов с помощью крипто-стилеров

Кампания началась в конце января 2026 года. Сначала на платформе ClawHub и GitHub появилась первая группа из 28 вредоносных навыков. Затем, с 31 января по 2 февраля, последовала вторая, значительно большая волна, включающая 386 навыков. Все они используют одну и ту же инфраструктуру командования и управления (command-and-control, C2) с IP-адресом 91.92.242.30. Основным вектором атаки стала социальная инженерия: пользователей убеждают выполнить команды, которые в конечном итоге приводят к установке информационного вора (information-stealing malware).

Аналитики из команды OpenSourceMalware, имеющей опыт поиска угроз в таких экосистемах, как NPM и PyPI, обратили внимание на реестр ClawHub из-за ранее озвученных проблем с его безопасностью. Исследование показало, что навыки в реестре не проходят проверку средствами безопасности. Вредоносные полезные нагрузки (payload) часто были видны в открытом виде в документации к навыкам.

Подавляющее большинство вредоносных навыков - 354 из 386 - опубликовал пользователь с ником "hightower6eu". Его поддельные навыки стали одними из самых скачиваемых на платформе, набрав в сумме около 7000 загрузок. Для увеличения охвата злоумышленник создавал десятки вариаций одного и того же навыка с разными суффиксами в названии, например, 28 версий "auto-updater".

Каждый вредоносный навык содержит объемную, профессионально выглядящую документацию на 500-700 строк, описывающую легитимные функции для торговли. Внутри документации размещены яркие предупреждения о необходимости скачать "AuthTool" для аутентификации. Пользователям предлагается выбрать свою операционную систему и выполнить соответствующую команду.

Для macOS наиболее распространенная команда содержит base64-кодированную строку, которая при декодировании запускает скрипт с C2-сервера. Другой вариант напрямую скачивает исполняемый файл, удаляет с него атрибуты карантина macOS командой "xattr -c" (что может обходить защиту Gatekeeper) и запускает его. Пользователям Windows предлагается скачать ZIP-архив с GitHub, распаковать его с паролем и запустить исполняемый файл "AuthTool.exe".

Анализ одного из вредоносных файлов для macOS (с хэшем SHA-256: 998c38b430097479b015a68d9435dc5b98684119739572a4dff11e085881187e) показал, что это универсальный бинарный файл Mach-O для архитектур x86_64 и arm64. Файл запрашивает у системы расширенные разрешения на чтение файлов и взаимодействие со службами. По мнению исследователей, этот стеaler, вероятно, является новым вариантом семейства вредоносных программ NovaStealer. Он нацелен на сбор ключей API криптобирж, файлов кошельков, данных расширений браузера (например, MetaMask), паролей из браузеров и macOS Keychain, SSH-ключей и учетных данных облачных сервисов.

Несмотря на многочисленные попытки связаться с администраторами ClawHub и создателем платформы Питером Штайнбергером, большинство вредоносных навыков остаются доступными в официальном репозитории на GitHub. В ответ на запрос в социальной сети Штайнбергер признал, что не может обеспечить безопасность ClawHub. Это заявление вызывает серьезные вопросы о безопасности быстро развивающейся экосистемы навыков для ИИ-ассистентов, где пользователи могут доверять сторонним инструментам доступ к своим важным данным и учетным записям.

Данная кампания представляет собой классическую атаку на цепочку поставок программного обеспечения (supply chain attack), нацеленную на новую и пока слабо защищенную экосистему. Злоумышленники не использовали технические уязвимости, сделав ставку на социальную инженерию и отсутствие процедур проверки безопасности. Выбор тематики, связанной с криптовалютой, указывает на финансовую мотивацию и расчет на высокую ценность данных потенциальных жертв.

Исследователи рекомендуют пользователям проявлять крайнюю осторожность. Тревожными сигналами являются требования скачать исполняемые файлы, команды с base64-кодированием, использование "сырых" IP-адресов, архивы с паролями, а также опечатки в названиях навыков и репозиториев. Все обнаруженные вредоносные навыки были добавлены в базу данных OpenSourceMalware для отслеживания подобных угроз.

IPv4

• 91.92.242.30

URLs

• https://github.com/Aslaep123/
• https://github.com/keepcold131/

MD5

• a8ad1697e8c8823ac7b77557bcb85a24
• d92be1b82e3ed7be464f4f500d2986e2

SHA256

• 28f65cad91c88d8590f5ac4d65d156f3e84e050b06b3d9686e92f1997ef6c7ea
• 34423bc9ab424455863e2e1865f27fc94ebbcdf28a1dbf9fcbb7a49fff30213c
• 998c38b430097479b015a68d9435dc5b98684119739572a4dff11e085881187e
• e3b5a5dbbccab4cf36c7abf5cb5ae83062dd1b5dee7db04bddbf53fc9ebdb233