Зловредные установщики OpenClaw в GitHub: как поиск Bing AI и новый упаковщик угрожают корпоративным системам

Кампания не имела узкой отраслевой направленности, нацеливаясь на широкий круг пользователей, желающих установить OpenClaw в средах Windows и macOS. Основным каналом распространения стал сам GitHub, а механизмом привлечения жертв - злоупотребление алгоритмами ранжирования Bing AI. Установщики, имевшие крайне низкий уровень детектирования антивирусами, распространяли похитители данных, использовавшие новый упаковщик Stealth Packer, а также бэкдор GhostSocks, ранее замеченный в арсенале группировки программ-вымогателей BlackBasta.

Угроза выходит за рамки простой кражи учётных данных. OpenClaw, как и многие современные ИИ-инструменты, хранит в своих конфигурациях высокочувствительную информацию: пароли, API-ключи, токены доступа. Компрометация системы с помощью похитителя даёт злоумышленникам доступ не только к учётным записям пользователя, но и к этим конфигурационным файлам, что может привести к цепной реакции взломов связанных сервисов и систем. Более того, использование инструмента GhostSocks для превращения заражённой машины в прокси-сервер создаёт дополнительные риски, позволяя атакующим маскировать свою активность под легитимный трафик жертвы, что осложняет обнаружение несанкционированного доступа и облегчает обход систем многофакторной аутентификации (MFA) и антифрода.

Исследовательская группа Huntress обнаружила первую активность 9 февраля, получив алерт о системе с признаками заражения. Анализ показал, что пользователь выполнил поиск в Bing по запросу «OpenClaw Windows», и встроенный ИИ-помощник прямо порекомендовал ему установить ПО из вредоносного репозитория "openclaw-installer". На первый взгляд репозиторий выглядел правдоподобно: он был привязан к организации GitHub с соответствующим названием, что добавляло ему ложного доверия. Однако инструкция по установке для macOS содержала очевидный красный флаг - она предписывала выполнить однострочную bash-команду, которая загружала и запускала код из совершенно другого, подозрительного репозитория "dmg" в организации "puppeteerrr".

Исполняемый файл для Windows, "OpenClaw_x64.exe", оказался переименованной и модифицированной версией "TradeAI.exe". При его запуске на конечную точку доставлялся целый арсенал вредоносного ПО, включая загрузчики, написанные на Rust, которые размещали в памяти похитители данных, такие как Vidar и PureLogs Stealer. Ключевой находкой стал новый упаковщик Stealth Packer, обнаруженный в бинарном файле "svc_service.exe". Судя по отладочным строкам, этот упаковщик обладает широким функционалом: внедряет код в память, добавляет правила брандмауэра, создаёт скрытые запланированные задачи (ghost scheduled tasks) и выполняет проверки на наличие виртуального окружения (AntiVM), отслеживая движение мыши перед запуском расшифрованной полезной нагрузки.

Отдельную серьёзную угрозу представлял компонент GhostSocks, доставляемый файлом "serverdrive.exe". Этот инструмент превращает скомпрометированную систему в прокси-сервер для злоумышленников. Используя шифрование TLS для подключений к управляющим серверам, он позволяет атакующему направлять свой трафик через сеть жертвы. Это не только маскирует истинный источник атаки, но и позволяет обходить системы безопасности, которые могут блокировать подозрительные логины с незнакомых IP-адресов или географических регионов. Для жертвы это означает, что её ресурсы могут быть использованы для атак на третьи стороны, а её сетевая инфраструктура станет плацдармом для дальнейшего продвижения злоумышленников.

Для пользователей macOS угроза была не менее опасной. Bash-скрипт из фейкового репозитория загружал и запускал Mach-O-бинар "OpenClawBot", который, как показал анализ, является вариантом похитителя Atomic MacOS Stealer (AMOS). После запуска он запрашивает права администратора, а затем, получив необходимые разрешения через TCC (Transparency, Consent, and Control), выполняет скрипт AppleScript для кражи файлов с определёнными расширениями из защищённых папок, таких как «Документы» и «Рабочий стол». Собранные данные архивируются и отправляются на контролируемый злоумышленниками домен.

Данный инцидент наглядно демонстрирует эволюцию тактик злоумышленников, которые всё активнее используют социальную инженерию в сочетании с отравлением результатов поиска (SEO poisoning) и эксплуатацией доверия к крупным платформам. Тот факт, что код размещён на GitHub, автоматически не делает его безопасным. Пользователи и, что критически важно, корпоративные специалисты по информационной безопасности должны сохранять бдительность. Рекомендации по защите очевидны, но оттого не менее важны: всегда проверять репутацию репозитория и его владельца, обращать внимание на дату создания аккаунта и историю его активности, скептически относиться к однострочным командам установки и использовать выделенные, изолированные среды для тестирования нового ПО. Кроме того, компаниям следует обучать даже самых технически подкованных сотрудников, которые часто имеют привилегированный доступ, методам идентификации фишинговых и вредоносных ресурсов, поскольку именно они становятся первостепенной целью для сложных атак.

IPv4

• 121.127.33.212
• 144.31.123.157
• 144.31.139.201
• 144.31.139.203
• 144.31.204.136
• 144.31.204.145
• 147.45.197.92
• 172.245.112.202
• 185.196.9.98
• 193.143.1.155
• 193.143.1.160
• 193.23.211.29
• 194.28.225.230
• 206.245.157.177
• 64.188.70.194
• 77.239.120.249
• 77.239.121.3
• 84.201.4.120
• 87.251.87.137
• 93.185.159.90
• 94.228.161.88

IPv4 Port Combinations

• 185.196.9.98:56001

Domains

• serverconect.cc

URLs

• https://socifiapp.com/api/reports/upload
• https://steamcommunity.com/profiles/76561198742377525
• https://telegram.me/dikkh0k

SHA256

• 40fc240febf2441d58a7e2554e4590e172bfefd289a5d9fa6781de38e266b378
• 518ff5fbfa4296abf38dfc342107f70e1491a7460978da6315a75175fb70e2b3
• a22ddb3083b62dae7f2c8e1e86548fc71b63b7652b556e50704b5c8908740ed5
• d5dffba463beae207aee339f88a18cfcd2ea2cd3e36e98d27297d819a1809846
• e13d9304f7ebdab13f6cb6fae3dff3a007c87fed59b0e06ebad3ecfebf18b9fd
• f03e38e1c39ac52179e43107cf7511b9407edf83c008562250f5f340523b4b51
• fd67063ffb0bcde44dca5fea09cc0913150161d7cb13cffc2a001a0894f12690