Een beveiligingsaudit van 2.857 vaardigheden op ClawHub heeft 341 kwaadaardige vaardigheden in meerdere campagnes gevonden, volgens nieuwe bevindingen van Koi Security, waardoor gebruikers worden blootgesteld aan nieuwe supply chain-risico’s.
ClawHub is een marktplaats die is ontworpen om het voor OpenClaw-gebruikers gemakkelijk te maken om vaardigheden van derden te vinden en te installeren. Het is een uitbreiding op het OpenClaw-project, een zelfgehoste kunstmatige intelligentie (AI)-assistent die voorheen bekend stond als zowel Clawdbot als Moltbot.
Uit de analyse, die Koi uitvoerde met de hulp van een OpenClaw-bot genaamd Alex, bleek dat 335 vaardigheden valse vereisten gebruiken om een Apple macOS-stealer genaamd Atomic Stealer (AMOS) te installeren. Deze set heeft de codenaam KlauwHavoc.
“Je installeert wat lijkt op een legitieme vaardigheid – misschien solana-wallet-tracker of youtube-summarize-pro”, zei Koi-onderzoeker Oren Yomtov. “De documentatie van de vaardigheid ziet er professioneel uit. Maar er is een gedeelte ‘Vereisten’ waarin staat dat je eerst iets moet installeren.”
Deze stap omvat instructies voor zowel Windows- als macOS-systemen: Op Windows wordt gebruikers gevraagd een bestand met de naam “openclaw-agent.zip” te downloaden uit een GitHub-repository. Op macOS vertelt de documentatie hen dat ze een installatiescript dat wordt gehost op glot(.)io moeten kopiëren en in de Terminal-app moeten plakken. De targeting van macOS is geen toeval, aangezien er berichten zijn verschenen over mensen die Mac Mini’s kopen om de AI-assistent 24×7 te laten draaien.
In het met een wachtwoord beveiligde archief bevindt zich een trojan met keylogging-functionaliteit om API-sleutels, inloggegevens en andere gevoelige gegevens op de machine vast te leggen, inclusief de gegevens waartoe de bot al toegang heeft. Aan de andere kant bevat het glot(.)io-script versluierde shell-opdrachten om payloads in de volgende fase op te halen van een door de aanvaller gecontroleerde infrastructuur.
Dit houdt op zijn beurt in dat je contact opneemt met een ander IP-adres (“91.92.242(.)30”) om een ander shellscript op te halen, dat is geconfigureerd om contact op te nemen met dezelfde server om een universeel Mach-O-binair bestand te verkrijgen dat eigenschappen vertoont die consistent zijn met Atomic Stealer, een commodity-dief die beschikbaar is voor $ 500-1000/maand en die gegevens van macOS-hosts kan verzamelen.
Volgens Koi doen de kwaadaardige vaardigheden zich voor als
- ClawHub typosquats (bijv. ClawHub, ClawHub1, ClawHubb, Clawhubcli, Clawwhub, Clawhub)
- Cryptocurrency-tools zoals Solana-portemonnees en portemonnee-trackers
- Polymarket-bots (bijv. polymarket-trader, polymarket-pro, polytrading)
- YouTube-hulpprogramma’s (bijvoorbeeld youtube-samenvatting, youtube-thumbnail-grabber, youtube-video-downloader)
- Automatische updaters (bijv. auto-updater-agent, update, updater)
- Financiële en sociale mediatools (bijv. Yahoo-finance-pro, x-trends-tracker)
- Google Workspace-tools claimen integraties met Gmail, Agenda, Spreadsheets en Drive
- Ethereum-gastrackers
- Verloren Bitcoin-vinders
Bovendien zei het cyberbeveiligingsbedrijf dat het vaardigheden heeft geïdentificeerd die reverse shell backdoors verbergen in functionele code (bijvoorbeeld better-polymarket en polymarket-all-in-one), of botreferenties in “~/.clawdbot/.env” exfiltreren naar een webhook(.)site (bijvoorbeeld rankaj).
De ontwikkeling valt samen met een rapport van OpenSourceMalware, dat ook dezelfde ClawHavoc-campagne markeerde, gericht op OpenClaw-gebruikers.
“De vaardigheden doen zich voor als automatiseringstools voor de handel in cryptovaluta en leveren malware voor het stelen van informatie op macOS- en Windows-systemen”, zegt een beveiligingsonderzoeker onder de online alias 6mile.
“Al deze vaardigheden delen dezelfde command-and-control-infrastructuur (91.92.242(.)30) en maken gebruik van geavanceerde social engineering om gebruikers ervan te overtuigen kwaadaardige commando’s uit te voeren, die vervolgens crypto-activa stelen, zoals uitwisselings-API-sleutels, portemonnee-privésleutels, SSH-inloggegevens en browserwachtwoorden.”
OpenClaw voegt een rapportageoptie toe
Het probleem komt voort uit het feit dat ClawHub standaard open is en iedereen in staat stelt vaardigheden te uploaden. De enige beperking in dit stadium is dat een uitgever een GitHub-account moet hebben dat minimaal een week oud is.
Het probleem met kwaadaardige vaardigheden is niet onopgemerkt gebleven door de maker van OpenClaw, Peter Steinberger, die sindsdien een rapportagefunctie heeft uitgerold waarmee ingelogde gebruikers een vaardigheid kunnen markeren. “Elke gebruiker kan maximaal twintig actieve rapporten tegelijk hebben”, aldus de documentatie. “Vaardigheden met meer dan drie unieke rapporten worden standaard automatisch verborgen.”
De bevindingen onderstrepen hoe open-source-ecosystemen nog steeds worden misbruikt door bedreigingsactoren, die nu meeliften op de plotselinge populariteit van OpenClaw om kwaadaardige campagnes te orkestreren en malware op grote schaal te verspreiden.
In een rapport vorige week waarschuwde Palo Alto Networks dat OpenClaw vertegenwoordigt wat de Britse programmeur Simon Willison, die de term prompt injection bedacht, omschrijft als een ‘dodelijke trifecta’ die AI-agenten kwetsbaar maakt door hun ontwerp vanwege hun toegang tot privégegevens, blootstelling aan niet-vertrouwde inhoud en het vermogen om extern te communiceren.
De kruising van deze drie mogelijkheden, gecombineerd met het aanhoudende geheugen van OpenClaw, “werkt als een versneller” en vergroot de risico’s, voegde het cyberbeveiligingsbedrijf eraan toe.
“Met het persistente geheugen zijn aanvallen niet langer alleen maar point-in-time exploits. Het worden stateful aanvallen met vertraagde uitvoering”, aldus onderzoekers Sailesh Mishra en Sean P. Morgan. “Kwaadaardige payloads hoeven niet langer onmiddellijk te worden uitgevoerd bij aflevering. In plaats daarvan kunnen het gefragmenteerde, niet-vertrouwde inputs zijn die op zichzelf goedaardig lijken, in het langetermijngeheugen van agenten worden geschreven en later worden samengevoegd tot een uitvoerbare reeks instructies.”
“Dit maakt tijdverschoven promptinjectie, geheugenvergiftiging en activering in logische bomstijl mogelijk, waarbij de exploit wordt gecreëerd bij opname, maar pas ontploft wanneer de interne status, doelen of beschikbaarheid van de tool op één lijn liggen.”
