Una auditoría de seguridad de las 2.857 habilidades de ClawHub descubrió 341 habilidades maliciosas en múltiples campañas, exponiendo a los usuarios a nuevos riesgos en la cadena de suministro, según nuevos hallazgos de Koui Security.
ClawHub es un mercado diseñado para ayudar a los usuarios de OpenClaw a encontrar e instalar fácilmente habilidades de terceros. Es una extensión del proyecto OpenClaw, un asistente de inteligencia artificial (IA) autohospedado anteriormente conocido como Clawdbot y Moltbot.
Este análisis, realizado por Koi con la ayuda de un bot de OpenClaw llamado Alex, encontró que 335 habilidades utilizaban requisitos previos falsos para instalar un ladrón de Apple macOS llamado Atomic Stealer (AMOS). El nombre en clave de este conjunto es ClawHavoc.
«Tal vez instale algo que parezca una habilidad legítima, como solana-wallet-tracker o youtube-summarize-pro», dijo el investigador de Koi Oren Yomtov. «La documentación de habilidades parece profesional, pero hay una sección de ‘requisitos previos’ que dice que primero debes instalar algo».
Este procedimiento incluye instrucciones para sistemas Windows y macOS. En Windows, se solicita a los usuarios que descarguen un archivo llamado «openclaw-agent.zip» del repositorio de GitHub. En macOS, la documentación dice que se copie el script de instalación alojado en glot(.)io y se pegue en la aplicación Terminal. El objetivo de macOS no es una coincidencia, ya que ha habido informes de personas que compran Mac Minis para ejecutar asistentes de inteligencia artificial las 24 horas del día, los 7 días de la semana.
Dentro del archivo protegido con contraseña reside un caballo de Troya con capacidades de registro de teclas que captura claves API, credenciales y otros datos confidenciales en la máquina, incluidos los datos a los que el bot ya ha accedido. El script glot(.)io, por otro lado, contiene comandos de shell ofuscados para recuperar la carga útil de la siguiente etapa de la infraestructura controlada por el atacante.
Esto requiere acceder a una dirección IP diferente (‘91.92.242(.)30’) y obtener un script de shell diferente. Este script de shell está configurado para acceder al mismo servidor y recuperar un binario Mach-O universal que exhibe características consistentes con Atomic Stealer, un ladrón de productos disponible por $500 a $1000 por mes que puede recopilar datos de hosts macOS.
Según Coy, la habilidad maliciosa parece ser:
ClawHub Typosquats (por ejemplo, clawhub, clawhub1, clawhubb, clawhubcli, clawwhub, cllawhub) Herramientas de criptomonedas como billeteras Solana y rastreadores de billeteras Bots de Polymarket (por ejemplo, Polymarket-trader, polymarket-pro, polytrading) Utilidades de YouTube (por ejemplo, youtube-summarize, youtube-thumbnail-grabber, youtube-video-downloader) Actualizadores automáticos (por ejemplo, agente de actualización automática, actualización, actualizador) Herramientas financieras y de redes sociales (por ejemplo, yahoo-finance-pro, x-trends-tracker) Herramientas de Google Workspace que afirman estar integradas con Gmail, Calendar, Sheets, Drive Ethereum Gas Tracker Lost Bitcoin Finder
Además, la firma de ciberseguridad dijo que ha identificado habilidades que ocultan puertas traseras de shell inverso dentro del código funcional (por ejemplo, Better-polymarket o Polymarket-all-in-one) o exponen las credenciales del bot que residen en ~/.clawdbot/.env a sitios Webhook(.) (por ejemplo, rankingaj).
Este desarrollo es consistente con un informe de OpenSourceMalware que también señaló la misma campaña de ClawHavoc dirigida a usuarios de OpenClaw.
«Esta habilidad se disfraza como una herramienta de automatización de transacciones de moneda virtual y envía malware para robar información a los sistemas macOS y Windows», dijo un investigador de seguridad que utiliza el alias en línea 6mile.
«Todas estas habilidades comparten la misma infraestructura de comando y control (91.92.242(.)30) y utilizan ingeniería social sofisticada para engañar a los usuarios para que ejecuten comandos maliciosos y roben criptoactivos como claves API de intercambio, claves privadas de billetera, credenciales SSH y contraseñas del navegador».
OpenClaw agrega opciones de informes
Este problema surge del hecho de que ClawHub está abierto de forma predeterminada, lo que permite que cualquiera cargue habilidades. La única limitación en esta etapa es que el editor debe tener una cuenta de GitHub que tenga al menos una semana de antigüedad.
El problema de las habilidades maliciosas no pasó desapercibido para el creador de OpenClaw, Peter Steinberger, quien posteriormente publicó una función de informes que permite a los usuarios registrados marcar habilidades. «Cada usuario puede tener hasta 20 informes activos a la vez», afirma la documentación. «Las habilidades con más de tres informes únicos se ocultan automáticamente de forma predeterminada».
Los hallazgos resaltan cómo el ecosistema de código abierto continúa siendo explotado por actores de amenazas, que ahora están capitalizando la repentina popularidad de OpenClaw para orquestar campañas maliciosas y distribuir malware a escala.
Palo Alto Networks advirtió en un informe la semana pasada que OpenClaw es parte de lo que Simon Willison, el programador británico que acuñó el término inyección rápida, describió como un «trío mortal» que hace que los agentes de IA sean vulnerables por diseño con acceso a datos privados, exposición a contenido no confiable y la capacidad de comunicarse externamente.
La intersección de estas tres características y la memoria persistente de OpenClaw «actúa como un acelerador» y amplifica el riesgo, añadió la empresa.
«Con la memoria persistente, el ataque ya no es sólo un exploit puntual, sino un ataque con estado y de ejecución retrasada», dijeron los investigadores Sailesh Mishra y Sean P. Morgan. «Las cargas útiles maliciosas ya no necesitan desencadenar la ejecución inmediatamente después de la entrega. En cambio, se convierten en entradas fragmentadas y no confiables que parecen benignas por sí solas y pueden escribirse en la memoria del agente a largo plazo y luego ensamblarse en conjuntos de instrucciones ejecutables».
«Esto permite inyecciones rápidas en diferido, envenenamiento de la memoria y activaciones estilo bomba lógica. Los exploits se crean al ingerirlos, pero sólo detonan cuando el estado interno, los objetivos o la disponibilidad de herramientas del agente se alinean».
Source link
