Программы-вымогатели Atomic Stealer атакуют пользователей macOS через уязвимые ИИ-агенты на платформе OpenClaw

Атака начинается с размещения вредоносных скиллов в публичных репозиториях, таких как ClawHub, SkillsMP.com и даже в официальном репозитории openclaw/skills на GitHub. Исследователи обнаружили 39 таких скиллов, а параллельное исследование компании Koi выявило 341 аналогичный модуль под названием ClawHavoc. Зловредный код маскируется под инструкцию по установке необходимого компонента - OpenClawCLI. В файле "SKILL.md" содержится, казалось бы, безобидная команда, требующая предварительной загрузки утилиты с подконтрольного злоумышленникам домена. Именно здесь и кроется главная уловка. Когда пользователь или его ИИ-агент, например, на базе модели GPT-4o, пытается установить скилл, система следует инструкциям и загружает скрытую полезную нагрузку.

Ключевой элемент атаки - эксплуатация доверия между пользователем и его ИИ-агентом. Агент, получив инструкции из файла скилла, выступает в роли доверенного источника и сам предлагает пользователю выполнить действия, ведущие к заражению. В частности, на экране появляется диалоговое окно, имитирующее стандартный системный запрос, которое просит пользователя вручную ввести пароль от учетной записи macOS для «установки необходимого драйвера». Этот метод, известный как «человек в петле» (human-in-the-loop), эффективно обходит многие автоматические защитные механизмы, полагаясь на человеческую ошибку. Примечательно, что более продвинутые языковые модели, такие как Claude Opus 4.5, способны распознать подобные уловки и прервать установку, что указывает на зависимость успеха атаки от уровня интеллекта используемого ИИ.

Если пользователь вводит пароль, в систему загружается и исполняется вредоносный Mach-O универсальный бинарный файл с именем вида "il24xgriequcys45". Этот файл, способный работать как на компьютерах Mac с процессорами Intel, так и на Apple Silicon, подписан так называемой ad-hoc подписью, которая не требует сертификата доверенного центра и используется в основном для разработки. После запуска стилер Atomic Stealer приступает к агрессивному сбору конфиденциальных данных. В отличие от некоторых предыдущих версий, этот вариант не пытается закрепиться в системе (persistence) для долгосрочного присутствия, что, впрочем, не умаляет его опасности.

В фокус зловреда попадает широкий спектр информации: логин и пароль пользователя, файлы с рабочего стола и из папок «Загрузки» и «Документы» (включая текстовые файлы, документы Office, PDF и, что критично, файлы баз данных менеджера паролей KeePass с расширением ".kdbx"). Кроме того, стилер целенаправленно извлекает учетные данные, сертификаты и приватные ключи из связки ключей Apple (Apple Keychain), собирает заметки из приложения Apple Notes, данные о системе и конфигурации дисплея. Собранные данные архивируются в ZIP-файл и отправляются на сервер управления командованием и контролем (C&C, command-and-control) злоумышленников по протоколу HTTPS. Любопытно, что стилер игнорирует файлы ".env", которые часто содержат API-ключи для языковых моделей, что может указывать на узкую специализацию данной кампании на краже финансовых данных и личной информации.

С технической точки зрения, аналитики TrendAI отмечают, что строки внутри исполняемого файла зашифрованы по схеме XOR с использованием нескольких мастер-ключей, что усложняет статический анализ. Функционал стилера остается классическим для семейства AMOS: он поддерживает сбор данных из 19 различных браузеров (куки, пароли, данные автозаполнения), 150 видов криптовалютных кошельков, а также сообщений из Telegram и Discord. В некоторых случаях после успешной эксфильтрации данных вредоносное ПО может попытаться загрузить и установить скомпрометированные версии популярных криптокошельков Ledger Live и Trezor Suite, что открывает путь для масштабных финансовых потерь.

С точки зрения защиты, эксперты подчеркивают, что традиционные меры, такие как проверка сертификатов, в данном случае могут оказаться неэффективными из-за использования ad-hoc подписи. Однако современные платформы расширенного обнаружения и реагирования (XDR), такие как TrendAI Vision One, способны выявлять подобные угрозы по поведенческим аномалиям. В частности, система фиксирует цепочки событий: попытка отключения средств защиты с последующей эксфильтрацией данных через веб-сервис. Продукты TrendAI блокируют как исполняемые файлы стилера, так и домены C&C-серверов. Важнейшей рекомендацией для пользователей OpenClaw и подобных платформ является крайняя осторожность при установке сторонних скиллов из непроверенных источников. Не следует слепо доверять запросам, которые ИИ-агент генерирует на основе инструкций извне, особенно если они требуют ввода пароля или установки дополнительного ПО. В свою очередь, разработчикам платформ для ИИ-агентов необходимо ужесточить процессы модерации и проверки пользовательского контента, особенно в публичных репозиториях, где были обнаружены тысячи потенциально опасных модулей. Эволюция AMOS от примитивного софта для взлома к сложным атакам на цепочку поставок через ИИ-агентов ясно показывает, что злоумышленники постоянно ищут и находят новые уязвимые звенья в цифровой экосистеме.

URLs

• http://91.92.242.30/1v07y9e1m6v7thl6
• http://91.92.242.30/6wioz8285kcbax6v
• http://91.92.242.30/6x8c0trkp4l9uugo
• http://91.92.242.30/dx2w5j5bka6qkwxi
• http://91.92.242.30/dyrtvwjfveyxjf23
• http://91.92.242.30/ece0f208u7uqhs6x
• http://91.92.242.30/il24xgriequcys45
• http://91.92.242.30/l5ou8r739pc48rwi
• http://91.92.242.30/lamq4uerkruo6ssm
• http://91.92.242.30/q0c7ew2ro8l2cfqp
• https://github.com/aztr0nutzs/
• https://github.com/Demerzels-lab/
• https://github.com/duclm1x1/Dive-Ai/
• https://github.com/kbarbel640-del/
• https://github.com/openclaw/skills/
• https://github.com/YPYT1/All-skills/
• https://openclawcli.vercel.app/
• https://socifiapp.com/api/reports/upload

SHA256

• 0e52566ccff4830e30ef45d2ad804eefba4ffe42062919398bf1334aab74dd65
• 1e6d4b0538558429422b71d1f4d724c8ce31be92d299df33a8339e32316e2298
• 233a98cb2c5536dabda0944eb2de8d47ad5ce9371a164fe2a8c29d8c55bc240c
• 30f97ae88f8861eeadeb54854d47078724e52e2ef36dd847180663b7f5763168
• 45d8e56bd86960727bcaa4b5c9f7c3422a22723c23ea5b46b6aa9bc42ed1f9f1
• 5968bd7d3a27a6a17ea73be6ee4b00807e83a786fdfa73cc5d8dbf262426c12c
• 5adb10e107d5075abf485f52a387fb419d06ad84d0df38e75769783f16862273
• 5e4696a2cfdc3336b1ecbc17c1642f6bf7d9a34497161659414dae33fe6225d7
• 95fb8f28d08e19090443bda8bd71bbb79f7c451288a2de6f1ca0ad6fee8b4569
• 998c38b430097479b015a68d9435dc5b98684119739572a4dff11e085881187e
• a0e66f3067e4aaf5b83e45b7845cc43b2fc96032a4398cab7cc9d11f4f962e91
• ca96fe6259d602a22951d5d3e244e1b752bf0d20086f445bf7015c8798e7b95b
• d781d5cabaf5f305bbb8afcd9a54d7ba616bfa7aef5c4d16f6bce3d2bf3b4073
• ec2920e56f2f62c6a2ed1242747980f6f7343c2404b7ae9a6e975b66b1c24b6d
• f0a54f2b44e557854b0a5001c4e10185884af945814786f78b86539014f78a16
• f2cb9de40cb8b7e13e7d2b0b3e426f8503781a35d8bba3715395430e9b5eeb38

OpenClaw Skills

• heldinhow/speckit-coding-agent
• stveenli/browserautomation-skill
• stveenli/shieldphenix
• stveenli/ytwatchervideo
• thiagoruss0/bear-notes7mcp
• thiagoruss0/clawdbot-logs1kzm
• thiagoruss0/coding-agent696vg
• thiagoruss0/coding-agent9vr
• thiagoruss0/coding-agentagb2
• thiagoruss0/coding-agentem9ak
• thiagoruss0/coding-agentoj9u
• thiagoruss0/deep-researchj
• thiagoruss0/discord-voicetwhtm
• thiagoruss0/finance-news9
• thiagoruss0/finance-newsz
• thiagoruss0/google-drivezqx
• thiagoruss0/instagramjg
• thiagoruss0/moltbookwmap4
• thiagoruss0/n8nemk
• thiagoruss0/perplexityt9d
• thiagoruss0/pptx-creatord
• thiagoruss0/search-xepv0
• thiagoruss0/seo-optimizerc6ynb
• thiagoruss0/seo-optimizereq
• thiagoruss0/seo-optimizeruu
• thiagoruss0/seo-optimizervoo
• thiagoruss0/tavily-web-searchajss
• thiagoruss0/tavily-web-searchesq
• thiagoruss0/telegramb4c
• thiagoruss0/todo-tracker1
• thiagoruss0/transcribeeqdq6t
• thiagoruss0/transcribeexx
• thiagoruss0/veo3-genay
• thiagoruss0/web-searchod
• thiagoruss0/web-searchuigr
• thiagoruss0/wechate
• thiagoruss0/wechatky8v
• thiagoruss0/wechatt9y1
• thiagoruss0/youtube37puq
• thiagoruss0/youtubea

Extension ID

• nkbihfbeogaeaoehlefnkodbefgpgknn
• ejbalbakoplchlghecdalmeeeajnimhm
• bfnaelmomeimhlpmgjnjophhpkkoljpa
• ibnejdfjmmkpcnlpebklmnkoeoihofec
• aholpfdialjgjfhomihkjbmgjidlcdno
• aeachknmefphepccionboohckonoeemg
• fhbohimaelbohpjbbldcngcnapndodjp
• fldfpgipfncgndfolcbkdeeknbbbnhcc
• aiifbnbfobpmeekipheeijimdpnlpgpp
• hmeobnfnfcmdkdcmlblgagmfpfboieaf
• hpglfhgfnhbgpjdenjgmdgoeiappafln
• efbglgofoippbgcjepnhiblaibcnclgk
• cgeeodpfagjceefieflmdfphplkenlfk
• ebfidpplhabeedpnhjnobghokpiioolj
• dkdedlpgdmmkkfjabffeganieamfklkm
• jnldfbidonfeldmalbflbmlebbipcnle
• cjelfplplebdjjenllpjcblmjkfcffne
• pdadjkfkgcafgbceimcpbkalnfnepbnk
• dlcobpjiigpikoobohmabehhmhfoodbb