Новая волна атак в ClawHub: злоумышленники сменили тактику, заменив вредоносный код на фишинговые ссылки

В новой кампании задействовано более 40 троянизированных скиллов с двух учетных записей ClawHub. Они перенаправляют жертв на загрузку программы, выдающей себя за легитимный инструмент "OpenClawCLI". Данная техника эффективно обходит сканирование VirusTotal, поскольку сами файлы SKILL.md не содержат вредоносного кода - только элементы социальной инженерии, убеждающие пользователей установить вредоносное ПО со стороннего сайта.

Эволюция: от встроенной нагрузки к внешнему хостингу

Ранее вредоносные скиллы ClawHub содержали закодированные полезные данные прямо в своей документации. Сканеры безопасности могли относительно легко обнаруживать такие паттерны. Новый подход умнее, так как он дистанцирует вредоносную нагрузку от реестра ClawHub. Файлы SKILL.md сами по себе не содержат зловредного кода. Вместо этого они представляют собой, казалось бы, легитимную документацию для полезных инструментов - SEO-оптимизаторов, кодинговых агентов, интеграций с Telegram - с одним небольшим добавлением: инструкцией по установке "необходимого" клиента OpenClawCLI с фишингового домена. Эта единственная строка и является вектором атаки. Скиллы проходят проверку как чистые, потому что вредоносное ПО находится в другом месте.

ClawHub и VirusTotal: ограничения защиты

Команда ClawHub недавно интегрировала автоматическое сканирование VirusTotal в реестр. Когда кто-то добавляет новый скилл, он автоматически проверяется, и отчет встраивается на страницу скилла. Это впечатляющее и быстрое улучшение безопасности экосистемы. Однако текущая кампания наглядно показывает, что если вынести вредоносную нагрузку за пределы ClawHub, у платформы остается мало возможностей для защиты пользователей. Сканер видит лишь чистый текст с фишинговой ссылкой.

Пример кампании: аккаунт thiagoruss0

OSM идентифицировал 37 вредоносных скиллов, опубликованных от имени аккаунта "thiagoruss0" за короткий промежуток времени. Среди них - интеграции с Bear Notes, Google Drive, Telegram, инструменты для веб-поиска и SEO-оптимизации. Каждый из этих скиллов включает одно и то же "предварительное требование", направляющее пользователей на вредоносный веб-сайт. Также был обнаружен вторичный аккаунт "stveenli" с тремя аналогичными скиллами, что может указывать на использование инфраструктуры злоумышленниками по модели "вредоносное ПО как услуга" (malware-as-a-service).

Проблема с GitHub-репозиторием

Официальный GitHub-репозиторий ClawHub ("github.com/openclaw/skills") фактически является резервной копией базы данных реестра. Когда команда OpenClaw удаляет вредоносный скилл из основной базы, он не всегда удаляется из этого репозитория. Это создает серьезную проблему, поскольку многие пользователи клонируют данный репозиторий для собственного использования и получают скиллы, которые уже должны были быть удалены. Команда OSM неоднократно обращала внимание разработчиков на эту уязвимость, но проблема сохраняется.

Поддельный сайт OpenClaw и его нейтрализация

Посещение домена "openclawcli[.]vercel[.]app" открывало профессионально выполненную целевую страницу, выдававшую себя за "Официальный командный интерфейс для OpenClaw". Сайт использовал правильные маркетинговые формулировки, такие как "Кроссплатформенный" и "Открытый исходный код", чтобы вызвать доверие. Инструкция по установке содержала закодированную в base64 команду, которая при расшифровке выполняла скрипт с внешнего IP-адреса, минуя доменные имена для усложнения отслеживания. К счастью, благодаря тесному сотрудничеству OpenSourceMalware с хостинг-провайдером Vercel, этот вредоносный сайт был отключен 9 февраля. Эксперты также обнаружили еще один сайт-двойник - "openclawd[.]ai", - который на момент анализа не распространял вредоносное ПО, но может быть использован для атак в будущем.

Значение новой тактики

Эта эволюция представляет собой серьезный вызов для безопасности экосистем скиллов. Во-первых, статический анализ файлов SKILL.md теперь неэффективен, так как вредоносное содержимое размещено на внешнем сайте. Во-вторых, создание десятков вариантов скиллов позволяет злоумышленникам максимально увеличить вероятность того, что пользователь, ищущий конкретный инструмент, наткнется на троянизированную версию. В-третьих, использование респектабельной хостинговой платформы, такой как Vercel, не вызывает у пользователей тех же подозрений, что и сомнительные домены. Наконец, новая схема создает дистанцию между приманкой и полезной нагрузкой, предоставляя злоумышленникам пространство для отрицания своей причастности. Таким образом, основной упор в атаке сместился с технических уловок на тонкую социальную инженерию, что требует от пользователей повышенной бдительности при установке любого стороннего программного обеспечения, даже из доверенных реестров.

IPv4

• 91.92.242.30

URLs

• http://91.92.242.30/tjjae9itarrd3txw
• https://openclawcli.vercel.app/

AI Skills

• bear-notes7mcp
• browserautomation-skill
• clawdbot-logs1kzm
• coding-agent696vg
• coding-agent9vr
• coding-agentagb2
• coding-agentem9ak
• coding-agentoj9u
• deep-researchj
• discord-voicetwhtm
• finance-news9
• finance-newsz
• google-drivezqx
• instagramjg
• jirayb4nt
• moltbookwmap4
• n8nemk
• n8nsk
• perplexityt9d
• pptx-creatord
• search-xepv0
• seo-optimizerc6ynb
• seo-optimizereq
• seo-optimizeruu
• seo-optimizervoo
• shieldphenix
• tavily-web-searchajss
• tavily-web-searchesq
• telegramb4c
• todo-tracker1
• transcribeeqdq6t
• transcribeexx
• veo3-genay
• web-searchod
• web-searchuigr
• wechate
• wechatt9y1
• youtube37puq
• youtubea
• ytwatchervideo