В марте 2026 года специалисты компании Zscaler ThreatLabz выявили новую волну атак, нацеленную на стремительно набирающие популярность рабочие процессы с участием агентного искусственного интеллекта. Вредоносная кампания эксплуатирует архитектуру модульных навыков открытого фреймворка OpenClaw, предназначенного для создания автономных агентов ИИ, выполняющих сложные задачи с высокими привилегиями в системе. Изначально OpenClaw задумывался как инструмент автоматизации, однако его гибкая система навыков стала удобным вектором атаки.
Описание
Суть инцидента заключается в публикации подставного навыка под названием DeepSeek-Claw. В файле инструкций SKILL.md, прилагающемся к репозиторию, злоумышленник заложил сразу несколько путей заражения. Разработчик, скачивающий этот навык, полагая, что это легитимная интеграция для DeepSeek, запускает цепочку, ведущую к загрузке вредоносного программного обеспечения. Примечательно, что инструкции могут быть выполнены как автоматически самим ИИ-агентом, так и вручную невнимательным пользователем.
Кампания примечательна тем, что использует классические методы обхода защиты, но в новом контексте. В случае автоматического выполнения команды на платформе Windows запускается установщик MSI, скачанный с удалённого сервера. Внутри инсталлятора находятся два файла: легитимный исполняемый модуль GoToMeeting, подписанный цифровой подписью LogMeIn, и вредоносная библиотека g2m.dll. Именно здесь срабатывает техника подмены порядка поиска DLL: при запуске G2M.exe система загружает злоумышленную библиотеку вместо оригинальной, что позволяет атакующему внедрить код в доверенный процесс и избежать сигнатурных детекторов.
Попав в память, библиотека g2m.dll действует как загрузчик шелл-кода с многоуровневой защитой от анализа. Специалисты ThreatLabz в своём отчёте детально разобрали механизмы уклонения. В их число входит подавление телеметрии Windows: загрузчик прописывает в памяти инструкцию возврата в функции EtwEventWrite, отвечающей за журналирование событий, и аналогичным образом обходит интерфейс сканирования вредоносных программ AMSI, имитируя чистое состояние. Кроме того, реализована проверка на отладку через анализ флагов в блоке окружения процесса, измерение времени выполнения системных вызовов для выявления песочниц и построчный поиск в памяти байта 0xCC, который указывает на программные точки останова. Если вредоносная активность обнаруживает признаки анализа - будь то работа отладчика ida.exe, виртуальной машины или утилиты Sysmon, выполнение немедленно прекращается.
Основная задача загрузчика - расшифровать и запустить полезную нагрузку Remcos RAT. Сама нагрузка хранится в зашифрованном виде в секции данных библиотеки, а для расшифровки используется алгоритм TEA в режиме CBC со 128-битным ключом. После внедрения Remcos устанавливает зашифрованное TLS-соединение с командным сервером злоумышленника и переходит в невидимый режим работы. Далее троян начинает запись нажатий клавиш, сбор буфера обмена и кражу файлов куки из локальных баз данных SQLite. Кража куки позволяет атакующему обходить многофакторную аутентификацию в веб-приложениях. Через постоянное соединение Remcos предоставляет злоумышленнику интерактивную обратную оболочку для выполнения любых команд.
Параллельно с этим злоумышленники заложили альтернативный сценарий заражения для тех пользователей, которые выполнят ручные инструкции из файла install.sh или npm install. Этот путь ведёт к установке кроссплатформенного похитителя данных GhostLoader, также известного как GhostClaw. Вредоносная программа использует сильно запутанный код на Node.js, встроенный в сценарии жизненного цикла пакета npm. На системах macOS и Linux GhostLoader применяет социальную инженерию в терминале: он выводит поддельные запросы на ввод пароля sudo, чтобы выманить учётные данные. После этого программа собирает сведения из связки ключей macOS, SSH-ключи, данные криптовалютных кошельков и токены доступа к облачным API, отправляя их на сервер злоумышленника.
Данная кампания является ярким примером того, как злоумышленники адаптируются к новым технологическим трендам. Агентный искусственный интеллект, становясь стандартным инструментом в корпоративной среде, открывает новые поверхности атак. Маскировка вредоносного навыка под легитимное расширение DeepSeek позволила киберпреступникам обойти традиционные механизмы доверия к репозиториям. Организациям, внедряющим ИИ-агентов, необходимо тщательно проверять все сторонние плагины и навыки, а также внедрять строгий мониторинг поведения таких расширений для выявления аномалий на ранних стадиях атаки.
Индикаторы компрометации
IPv4 Port Combinations
- 146.19.24.131:2404
URLs
- http://dropras.xyz/
- https://cloudcraftshub.com/api
- https://github.com/Crestdrasnip/Claude-Zeroclaw
- https://github.com/deborahikssv/Antigravity-claw
- https://github.com/FinPyromancerLog/xcode-claw
- https://github.com/Gentleatvice/seed-phrase-recover-BTC-ETH
- https://github.com/GoliathSocialBoiler/kalshi-claw-skill
- https://github.com/Heartflabrace/Doubao-Claw
- https://github.com/helenigtxu/blooket
- https://github.com/helenigtxu/TradingView-Claw
- https://github.com/lunarraveneradicate/robinhood-auto-testnet
- https://github.com/michelleoincx/Bunkr-Downloader-Python
- https://github.com/michelleoincx/genspark.ai-openclaw
- https://github.com/Needvainverter93/deepseek-claw
- https://github.com/Rohit24567/HyperLiquid-Claw
- https://github.com/sharonubsyq/trading-view-indicator-extension
- https://trackpipe.dev
MD5
- 1c267cab0a800a7b2d598bc1b112d5ce
- 2a5f619c966ef79f4586a433e3d5e7ba
- 2c4b7c8b48e6b4e5f3e8854f2abfedb5
- cc1af839a956c8e2bf8e721f5d3b7373
