Более 230 вредоносных пакетов для ИИ-ассистента OpenClaw опубликованы на официальном реестре и GitHub. Эти «навыки» крадут API-ключи, пароли и другую конфиденциальную информацию, маскируясь под легитимные инструменты.
Менее чем за неделю в официальном реестре и на GitHub было опубликовано более 230 вредоносных пакетов для персонального ИИ-ассистента OpenClaw (ранее известного как Moltbot и ClawdBot).
Эти пакеты, называемые «навыками» (skills), маскируются под легитимные инструменты, но на самом деле доставляют вредоносное ПО, крадущее конфиденциальные данные, такие как API-ключи, приватные ключи кошельков, учетные данные SSH и пароли браузеров.
Проект OpenClaw, изначально называвшийся ClawdBot, затем Moltbot и теперь OpenClaw (сменив названия менее чем за месяц), представляет собой вирусный open-source ИИ-ассистент, предназначенный для локальной работы с сохранением памяти и интеграцией с различными ресурсами (чат, электронная почта, локальная файловая система). При неправильной настройке ассистент создает риски безопасности.
«Навыки» — это легко развертываемые плагины для OpenClaw, расширяющие его функциональность или предоставляющие инструкции для выполнения специализированных задач.
Однако исследователь в области безопасности Джеймисон О’Рейли недавно сообщил, что сотни неправильно сконфигурированных интерфейсов администратора OpenClaw доступны в открытом интернете.
В период с 27 января по 1 февраля в ClawHub (официальный реестр ассистента) и на GitHub было опубликовано два набора вредоносных «навыков», насчитывающих в общей сложности более 230 штук.
«Навыки» маскируются под легитимные утилиты, такие как инструменты для автоматизации торговли криптовалютой, финансовые утилиты, сервисы социальных сетей или контента. Однако в фоновом режиме они внедряют на системы пользователей вредоносное ПО для кражи информации.
Согласно отчету от портала безопасности OpenSourceMalware, крупномасштабная кампания использует «навыки» для распространения вредоносного ПО, крадущего информацию, среди пользователей OpenClaw.
Большинство из них представляют собой почти идентичные клоны со случайными именами, в то время как некоторые достигли популярности, будучи загруженными тысячи раз.
Каждый вредоносный «навык» содержит подробную документацию, чтобы выглядеть легитимно, включая несколько выделенных упоминаний отдельного инструмента под названием ‘AuthTool’, который якобы является критически важным для правильной работы «навыка».
Заражение происходит, когда жертва следует инструкциям в документации, что похоже на атаку типа ClickFix.
На самом деле AuthTool является механизмом доставки вредоносного ПО. На macOS он выглядит как командная строка shell, закодированная в base64, которая загружает полезную нагрузку с внешнего адреса. На Windows он загружает и запускает ZIP-архив, защищенный паролем.
Вредоносное ПО, загружаемое на системы macOS, идентифицировано как вариант NovaStealer, который может обойти Gatekeeper, используя команду ‘xattr -c’ для удаления атрибутов карантина и запроса широкого доступа на чтение файловой системы и связи с системными службами.
Стелер нацелен на API-ключи бирж криптовалют, файлы кошельков и сид-фразы, расширения браузеров для кошельков, данные macOS Keychain, пароли браузеров, SSH-ключи, облачные учетные данные, учетные данные Git и файлы ‘.env’.
Отдельный отчет от Koi Security насчитал 341 вредоносный «навык» в ClawHub после того, как аналитики просканировали весь репозиторий из 2 857, отнеся их к одной кампании.
Помимо инструментов, освещенных в отчете OpenSourceMalware, Koi также обнаружил 29 опечаток (typosquats) для названия ClawHub, нацеленных на распространенные ошибки при наборе.
Чтобы помочь пользователям оставаться в безопасности, Koi Security также опубликовал бесплатный онлайн-сканер, который позволяет пользователям вставить URL «навыка» для получения отчета о его безопасности.
Создатель OpenClaw, Питер Стайнбергер, ответил OpenSourceMalware в X, признав невозможность проверить огромное количество отправляемых на платформу «навыков», поэтому пользователи несут ответственность за двойную проверку безопасности «навыков» перед их развертыванием.
Пользователи должны осознавать глубокий доступ OpenClaw к системе. Рекомендуется многоуровневый подход к безопасности, который включает изоляцию ИИ-ассистента в виртуальной машине, предоставление ему ограниченных разрешений и защиту удаленного доступа к нему (например, ограничение портов, блокировка трафика).
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas