Złośliwe „skills” dla OpenClaw/MoltBot: nowy wektor ataku łańcucha dostaw i kradzieży haseł

securitybeztabu.pl 2 dni temu

Wprowadzenie do problemu / definicja luki

W ekosystemie self-hosted agentów AI pojawił się klasyczny problem supply chain — tyle iż zamiast paczek npm/PyPI, celem stały się „skills” (wtyczki/pakiety funkcjonalności) dla osobistego asystenta AI OpenClaw (wcześniej: Moltbot/ClawdBot). Atakujący masowo publikują „skills” udające narzędzia (np. do krypto, finansów, social mediów), a w praktyce służące do instalacji infostealerów i kradzieży danych uwierzytelniających.

W skrócie

  • W krótkim oknie czasu (ok. 27 stycznia – 1 lutego 2026) opublikowano setki podejrzanych/złośliwych „skills” w rejestrze ClawHub i na GitHub.
  • Infekcja zwykle wymaga, by ofiara ręcznie wykonała instrukcje z dokumentacji („Prerequisites”), co przypomina schemat ClickFix: użytkownik sam uruchamia polecenie/pobiera narzędzie, bo „jest potrzebne do działania”.
  • Na macOS w łańcuchu pojawia się m.in. zdejmowanie atrybutu kwarantanny (xattr -c) w celu obejścia mechanizmów typu Gatekeeper oraz kradzież danych z pęku kluczy i profili przeglądarek.
  • Niezależnie od szczegółów payloadu, najważniejszy problem jest systemowy: agent AI działa lokalnie i ma „głębokie” uprawnienia, a „skills” są w praktyce kodem wykonywalnym.

Kontekst / historia / powiązania

OpenClaw/MoltBot stał się wiralowy jako „personal AI agent” uruchamiany lokalnie, z pamięcią długoterminową i integracjami z usługami (komunikatory, e-mail, pliki, automatyzacje). Taka architektura jest atrakcyjna, ale z perspektywy bezpieczeństwa oznacza, iż kompromitacja ekosystemu rozszerzeń jest kompromitacją hosta i danych użytkownika. Cisco zwraca uwagę, iż narzędzia tego typu potrafią automatyzować działania, uruchamiać skrypty i operować na zasobach, co znacząco podnosi stawkę przy błędach w modelu uprawnień i dystrybucji rozszerzeń.

Równolegle pojawia się drugi wątek: poza zatruciem marketplace’u „skills”, badacze i źródła threat-intel wskazują też na błędnie wystawione interfejsy administracyjne oraz ryzyka wynikające z przechowywania sekretów w plikach i zdalnej ekspozycji usług.

Analiza techniczna / szczegóły luki

1) Mechanizm dystrybucji: „skills” jako nośnik zaufanego kodu

„Skills” są opisywane jako łatwo wdrażalne wtyczki/rozszerzenia. W praktyce atak polega na tym, iż publikowane paczki:

  • klonują się masowo (bliźniacze repozytoria, losowe nazwy),
  • mają dopracowaną dokumentację,
  • podszywają się pod narzędzia o wysokiej „wartości” dla ofiar (krypto, finanse, narzędzia produktywności).

2) Socjotechnika „Prerequisites” i fałszywe narzędzia („AuthTool” / „openclaw-agent”)

W opisywanych kampaniach najważniejszy jest punkt „Prerequisites”. To tam użytkownik dostaje instrukcję:

  • na macOS: wkleić do terminala polecenie (często base64 → bash, z pobraniem skryptu/payloadu z zewnętrznego hosta),
  • na Windows: pobrać i uruchomić archiwum ZIP (często zaszyfrowane hasłem, co utrudnia automatyczne skanowanie).

Koi Security opisuje też, iż ZIP z hasłem jest używany nie „dla bezpieczeństwa”, ale jako taktyka przeciwko automatycznym analizatorom i AV w pipeline’ach.

3) Payload i kradzież danych: macOS i Windows

Z perspektywy skutków, celem jest klasyczny infostealer:

  • BleepingComputer wskazuje na wariant NovaStealer na macOS, który potrafi m.in. zdejmować kwarantannę (xattr -c), żądać szerokiego dostępu do plików i wyciągać dane takie jak: klucze API giełd krypto, seed phrases, dane z rozszerzeń walletów, dane z Keychain, hasła przeglądarki, klucze SSH, poświadczenia chmurowe, Git credentials i pliki .env.
  • Koi Security w swojej analizie przypisuje główną falę do kampanii (nazwanej ClawHavoc) i identyfikuje macOS-owy stealer jako Atomic Stealer (AMOS), opisując charakterystyczny łańcuch (pobranie skryptu → dropper → uruchomienie binarki) oraz szeroki zakres kradzionych artefaktów (przeglądarki, portfele, SSH, komunikatory).

W praktyce możliwe są rozbieżności w klasyfikacji rodziny malware (NovaStealer vs AMOS), bo część zachowań/artefaktów może być współdzielona lub zmieniana w kolejnych wariantach — dla obrony ważniejsze jest rozpoznanie TTP: manualne uruchamianie „prerekwizytów”, download z zewnętrznych domen/IP, zdejmowanie kwarantanny i masowa eksfiltracja sekretów.

4) Skala i dodatkowe techniki (typosquatting, outliery)

  • Audyt cytowany przez The Hacker News mówi o 341 złośliwych „skills” na ClawHub (na tle ~2,857 sprawdzonych), z dominującą kampanią i dodatkowymi odchyleniami.
  • Wskazano też typosquatting (warianty nazw związanych z ClawHub), co zwiększa skuteczność infekcji przy literówkach i instalacjach „na skróty”.

Praktyczne konsekwencje / ryzyko

Ten incydent jest groźny nie tylko przez samą liczbę złośliwych paczek, ale przez kontekst użycia:

  • Agent AI ma dostęp do plików, przeglądarki, tokenów, integracji z usługami i często działa „jak użytkownik” — z naturalną zdolnością do eskalacji skutków kompromitacji (np. dostęp do repozytoriów, CI/CD, e-maila).
  • Kradzież .env, kluczy API, SSH i poświadczeń chmurowych oznacza ryzyko przejęcia kont i infrastruktury, a nie tylko „wycieku haseł z przeglądarki”.
  • Jeśli instancje administracyjne są wystawione do internetu lub słabo zabezpieczone, dochodzi dodatkowa powierzchnia ataku: przejęcie zarządzania agentem lub wykorzystanie go jako backdoora.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „tu i teraz” — w kolejności od najszybszych do bardziej systemowych:

1) Natychmiastowe ograniczenie ryzyka

  • Wstrzymaj instalację nowych „skills” z publicznych rejestrów w zespołach/firmie do czasu wdrożenia zasad weryfikacji.
  • Potraktuj „skill” jak binarkę: jeżeli ktoś każe wkleić komendę do terminala albo pobrać „narzędzie wymagane do działania” — to czerwony alarm.
  • Jeżeli instalowano „skills” w ostatnich dniach: rotuj sekrety (API keys, tokeny, SSH, klucze do giełd), sprawdź logi dostępu i nietypowe logowania.

2) Walidacja i skanowanie

  • Weryfikuj publishera, historię repo, podobieństwa nazw, a także czy nie ma „Prerequisites” z obfuskacją (base64, curl|bash).
  • Skorzystaj z narzędzi do oceny „skills” publikowanych przez badaczy (np. skaner URL od Koi Security) jako dodatkowego sygnału, nie jedynego kontrolera.

3) Izolacja środowiska (najważniejsze przy agentach AI)

  • Uruchamiaj OpenClaw w VM/kontenerze z minimalnymi uprawnieniami i separacją od głównego profilu przeglądarki, kluczy SSH i repozytoriów (zasada najmniejszych uprawnień).
  • Ogranicz egress (firewall, allowlist domen), bo większość łańcuchów infekcji i eksfiltracji wymaga połączeń wychodzących.

4) Governance „skills” w organizacji

  • Wprowadź allowlist zatwierdzonych „skills”, wersjonowanie i pinning (konkretne commity/release), a docelowo podpisywanie/artefakty z kontrolą integralności.
  • Rozważ całkowite wyłączenie mechanizmu „skills”, jeżeli nie potrafisz go kontrolować (SOC Prime wprost sugeruje rozważenie ograniczenia tej funkcji bez odpowiedniego nadzoru).

5) Detekcja i IR

  • Monitoruj: nietypowe procesy powłoki, curl/bash w kontekście instalacji, zdejmowanie kwarantanny (xattr -c), nowe binarki w katalogach tymczasowych, nietypowy ruch do nieznanych hostów.
  • Jeśli podejrzewasz kompromitację: izoluj host, zbierz artefakty, zresetuj poświadczenia, przeprowadź przegląd integracji agenta z usługami (mail, repo, kalendarze) i rozważ reinstalację w utwardzonym środowisku.

Różnice / porównania z innymi przypadkami

To zdarzenie wpisuje się w dobrze znany schemat:

  • marketplace/registry → masowe paczki → socjotechnika → payload (jak w atakach na npm/PyPI/VS Code). Koi Security wprost porównuje ClawHub do popularnych ekosystemów paczek, wskazując, iż „tam gdzie deweloperzy dzielą się kodem, tam pojawiają się atakujący”.
  • Różnica jest taka, iż tutaj ofiary instalują rozszerzenia dla narzędzia, które z założenia ma szeroki dostęp i automatyzuje działania, więc „blast radius” może być większy niż przy typowej wtyczce do IDE.

Podsumowanie / najważniejsze wnioski

  • Publiczny ekosystem „skills” dla OpenClaw/MoltBot stał się celem masowego zatrucia łańcucha dostaw, a skutkiem jest dystrybucja infostealerów i kradzież sekretów.
  • Najczęstszy wektor to „Prerequisites” i manualne uruchamianie poleceń/instalatorów (ClickFix-like), co omija część automatycznych kontroli.
  • Najskuteczniejsza obrona to połączenie: izolacji środowiska agenta, twardego governance rozszerzeń oraz szybkiej rotacji sekretów, jeżeli instalacje już miały miejsce.

Źródła / bibliografia

  1. (BleepingComputer) – BleepingComputer: skala kampanii, „AuthTool”, ClickFix-like, NovaStealer i zakres kradzieży
  2. (koi.ai) – Koi Security: audyt 2,857 „skills”, 341 złośliwych, ClawHavoc, techniki i łańcuch macOS
  3. (The Hacker News) – The Hacker News: podsumowanie ustaleń Koi i kategorie kampanii na ClawHub
  4. (Cisco Blogs) – Cisco Blogs: ryzyka architektoniczne „personal AI agents” i konsekwencje braku sandboxingu/governance
  5. (SOC Prime) – SOC Prime: perspektywa threat-intel (ekspozycja admin portów, sekrety w plikach, mitigacje)
Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Złośliwe „skills” dla OpenClaw/MoltBot: nowy wektor ataku łańcucha dostaw i kradzieży haseł

Powiązane

Windows 11 psuje usuwanie plików. To najgorszy możliwy moment

Windows 11 psuje usuwanie plików. To najgorszy możliwy momen...

2 godzin temu
Oszustwa w handlu elektroniką. Ponad tysiąc ofiar i 3 mln zł strat

Oszustwa w handlu elektroniką. Ponad tysiąc ofiar i 3 mln zł...

14 godzin temu
Amerykańskie służby wyłapują krytyków ICE

Amerykańskie służby wyłapują krytyków ICE

16 godzin temu
Czym jest Adversarial Exposure Validation i dlaczego to ważne?

Czym jest Adversarial Exposure Validation i dlaczego to ważn...

16 godzin temu
Zrobili z Facebooka maszynkę do kradzieży pieniędzy. Ofiarą mógł paść każdy

Zrobili z Facebooka maszynkę do kradzieży pieniędzy. Ofiarą ...

17 godzin temu
Każdy mógł zobaczyć, ile małpek kupujesz w Żabce

Każdy mógł zobaczyć, ile małpek kupujesz w Żabce

1 dzień temu
Coinbase potwierdza „insider breach” po wycieku zrzutów ekranu narzędzi wsparcia: dlaczego systemy supportu stają się celem Tier-0

Coinbase potwierdza „insider breach” po wycieku zrzutów ekra...

1 dzień temu
Darmowy poradnik rządu trafił na OLX. Polacy się popisali

Darmowy poradnik rządu trafił na OLX. Polacy się popisali

1 dzień temu
Miliony z rządowego programu. Najwięcej dla Policji. Ministerstwo Zdrowia ze skromnym wsparciem

Miliony z rządowego programu. Najwięcej dla Policji. Ministe...

1 dzień temu

Polecane

Dzwonu Pokoju i Przyjaźni Między Narodami przeszedł przegląd konserwatorski

Dzwonu Pokoju i Przyjaźni Między Narodami przeszedł przegląd...

1 tydzień temu
Nowy Targ. Dwa granaty odnalezione podczas prac budowlanych w Miejskiej Hali Lodowej

Nowy Targ. Dwa granaty odnalezione podczas prac budowlanych ...

1 tydzień temu
Fałszywy alarm bombowy na lotnisku w Krakowie-Balicach

Fałszywy alarm bombowy na lotnisku w Krakowie-Balicach

1 tydzień temu
Nie daj się oszukać metodą na podszywacza. Ogólnopolska kampania BLIK i polskiej Policji

Nie daj się oszukać metodą na podszywacza. Ogólnopolska kamp...

3 tygodni temu
Pomyłka z walizką i działania minersko-pirotechniczne na krakowskim lotnisku

Pomyłka z walizką i działania minersko-pirotechniczne na kra...

4 tygodni temu
RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

1 miesiąc temu
Niewybuchy w lesie. Mieszkaniec powiadomił służby

Niewybuchy w lesie. Mieszkaniec powiadomił służby

1 miesiąc temu
Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Mazowieckim pułku saperów w Kazuniu

Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Ma...

1 miesiąc temu
One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię w Bondi

One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię...

1 miesiąc temu