Bing AI promował fałszywe repozytorium OpenClaw na GitHubie. Efekt: infostealery i proxy GhostSocks na stacjach użytkowników

Wprowadzenie do problemu / definicja luki

To nie jest klasyczna „luka” w sensie CVE. To łańcuch nadużyć z pogranicza SEO/brand-impersonation + zaufania do GitHuba + „AI answer engine”. W praktyce: użytkownik wpisuje w Bing zapytanie w stylu „OpenClaw Windows”, a mechanizm odpowiedzi AI potrafi polecić fałszywe repozytorium na GitHubie z instrukcjami instalacji prowadzącymi do uruchomienia malware.

W skrócie

• Kampania dotyczyła fałszywych „installerów” OpenClaw hostowanych na GitHubie i polecanych w wynikach Bing (AI).
• Okno aktywności zidentyfikowane przez Huntress: 2–10 lutego 2026.
• Dla Windows: dostarczano infostealery (m.in. Vidar) oraz GhostSocks (backconnect proxy); część loaderów była pisana w Rust i wykonywała payloady w pamięci.
• Dla macOS: instrukcje prowadziły do pobrania/uruchomienia komponentów powiązanych z Atomic macOS Stealer (AMOS).

Kontekst / historia / powiązania

OpenClaw to popularny, open-source’owy „agent”/asystent AI, który z definicji działa lokalnie i ma dostęp do plików oraz integracji (poczta, komunikatory, usługi online). To sprawia, iż jest atrakcyjnym celem: jedna infekcja infostealerem = dostęp do haseł + tokenów + potencjalnie sekretów w konfiguracjach narzędzi AI.

W ostatnich tygodniach temat bezpieczeństwa ekosystemu OpenClaw przewijał się również w kontekście „skills”/rozszerzeń i ryzyka dowożonego przez instrukcje uruchamiania poleceń w shellu.

Analiza techniczna / szczegóły kampanii

1) Socjotechnika + wiarygodność GitHuba + „autorytet” AI w wyszukiwarce

Huntress opisał przypadek, w którym użytkownik trafił na repo podszywające się pod instalator Windows, a Bing AI wskazał je jako „top” sugestię dla frazy „OpenClaw Windows”.

Repo wyglądało wiarygodnie m.in. dlatego, że:

• było podpięte pod organizację w stylu „openclaw-installer” (wrażenie „oficjalności”),
• zawartość kodu źródłowego częściowo kopiowała legalny projekt (moltworker od Cloudflare), co podbija „legit look” i może mylić zarówno ludzi, jak i systemy automatyczne.

2) Windows: 7z z „OpenClaw_x64.exe”, loadery w Rust, Vidar i GhostSocks

Z perspektywy Windows wektorem był plik wykonywalny (m.in. w archiwum 7-Zip), który prowadził do uruchomienia kilku komponentów:

• Rust-based loadery, które uruchamiały infostealery w pamięci (utrudnia analizę i detekcję opartą o artefakty na dysku),
• Vidar stealer – według opisu potrafił pozyskiwać dane C2 m.in. poprzez odwołania do profili na Telegramie i Steam,
• GhostSocks backconnect proxy – malware zamieniające maszynę ofiary w węzeł proxy.

GhostSocks jest tutaj szczególnie groźny operacyjnie: jeżeli infostealer wyciągnie ciasteczka/tokenty/hasła, to operator może logować się „z IP ofiary”, obchodząc antyfraud oparte o geolokację, reputację IP czy „impossible travel”. Huntress wprost wskazuje tę wartość dla atakującego.

Dodatkowo Huntress opisał użycie Stealth Packer (packer/injector), który ma realizować m.in. wstrzykiwanie do pamięci, modyfikacje reguł zapory i artefakty w harmonogramie zadań oraz proste anty-VM (np. warunek ruchu myszy).

3) macOS: „bash one-liner” i AMOS

W wariancie dla macOS repo instruowało użytkownika, by wkleił w Terminalu jednowierszową komendę bash, która pobierała zasoby z innej organizacji/repo. W analizie wskazano, iż ładunek odpowiadał schematowi shell script + Mach-O, a finalnie mapował się na Atomic macOS Stealer (AMOS).

Praktyczne konsekwencje / ryzyko

1. Kradzież danych uwierzytelniających i tokenów
   Infostealery klasy Vidar/AMOS typowo polują na dane przeglądarek, menedżerów haseł, portfeli krypto, komunikatorów itd. W kampanii dodatkowo dochodzi ryzyko przejęcia materiałów do logowania, które potem można monetyzować lub użyć do dalszych włamań.
2. Bypass antyfraud/MFA przez proxy „z hosta ofiary”
   GhostSocks buduje warstwę „wiarygodnego ruchu” dla napastnika, co w praktyce zwiększa skuteczność przejęć kont i omijania mechanizmów ryzyka.
3. Eksfiltracja sekretów z narzędzi AI/agentów
   Huntress podkreśla, iż choćby przy legalnej instalacji OpenClaw konfiguracje mogą zawierać wrażliwe dane (API keys, tokeny, hasła). Infostealer na zainfekowanej stacji może je po prostu zebrać.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i zespołów IT (szybkie „must do”)

• Bookmarkuj oficjalne źródła (repo/strony projektu) i instaluj wyłącznie z nich — nie polegaj na wyszukiwaniu „za każdym razem”.
• Nie uruchamiaj poleceń typu curl|bash / „wklej do Terminala” z README, jeżeli nie potrafisz samodzielnie zweryfikować, co pobierasz i wykonujesz (hash, podpis, źródło, historia repo).
• Weryfikuj reputację repozytorium: data utworzenia konta/org, historia commitów, spójność kodu źródłowego z release’ami, podpisy, powiązanie z oficjalnym projektem.

Detekcja i reakcja (jeśli podejrzewasz kompromitację)

• Na Windows sprawdź: nietypowe zadania Harmonogramu, reguły firewalla, procesy o „installerowych” nazwach, podejrzane połączenia wychodzące; uruchom pełny skan EDR/Defender. (Kampania była wykrywalna i w analizowanym przypadku pliki były kwarantannowane przez rozwiązania Microsoft).
• Rotuj hasła i tokeny (zwłaszcza przeglądarkowe, API keys, tokeny sesji) oraz włącz/utwardź MFA tam, gdzie to możliwe — przy założeniu, iż infostealer mógł pozyskać ciasteczka/tokenty.
• Jeśli używasz OpenClaw/agentów AI: traktuj pliki konfiguracyjne jak „sekrety produkcyjne” (min. uprawnienia, separacja kont, trzymanie kluczy w menedżerze sekretów, ograniczenie dostępu na stacji roboczej).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Ten incydent pokazuje zmianę taktyki: nie trzeba „hakować” modelu ani prowadzić skomplikowanego prompt injection. Wystarczy odpowiednio „opakować” fałszywe repo na zaufanej platformie i sprawić, by system odpowiedzi AI uznał je za relewantne. Huntress zestawia to z wcześniejszymi kampaniami wykorzystującymi mechanizmy AI/udostępniania treści do socjotechniki, ale tu najważniejsze było samo „zaufane hostowanie” na GitHubie + widoczność w Bing AI.
• Równolegle ekosystem OpenClaw bywa nadużywany także przez złośliwe „skills”/rozszerzenia, co wzmacnia tezę, iż agentic AI + lokalne uprawnienia + społecznościowy ekosystem dystrybucji to mieszanka wymagająca twardych kontroli bezpieczeństwa.

Podsumowanie / najważniejsze wnioski

• „AI w wyszukiwarce” potrafi zwiększyć skuteczność klasycznych podszyć, bo nadaje im pozór autorytetu.
• GitHub jako hosting podnosi wiarygodność w oczach użytkowników, a kopiowanie legalnego kodu wzmacnia kamuflaż.
• Najgroźniejszy miks w tej kampanii to infostealer + proxy (GhostSocks): kradzież materiału do logowania i natychmiastowa możliwość „wejścia jako ofiara” z jej własnego hosta.
• Jeśli instalujesz popularne narzędzia (zwłaszcza agentów AI): instalacja = procedura bezpieczeństwa, nie „kliknięcie z wyszukiwarki”.

Źródła / bibliografia

1. BleepingComputer – opis incydentu i elementów ładunku (Windows/macOS, Vidar, GhostSocks). (BleepingComputer)
2. Huntress – analiza kampanii (okno 2–10 lutego 2026, Stealth Packer, GhostSocks, AMOS, mechanika Bing AI). (Huntress)
3. The Register – podsumowanie roli Bing AI i GitHuba w dystrybucji fałszywych installerów. (theregister.com)
4. Trend Micro – kontekst zagrożeń AMOS/kradzieży danych na macOS (tło rodzinne). (www.trendmicro.com)
5. The Verge – szerszy kontekst ryzyk w ekosystemie OpenClaw (skills/rozszerzenia). (The Verge)