Kevesebb mint egy hét alatt több mint 230 rosszindulatú csomagot tettek közzé a személyes AI-asszisztens, az OpenClaw (korábban Moltbot és ClawdBot) hivatalos csomagregiszterében, illetve a GitHubon. A projekt külön figyelmet érdemel, mert kevesebb mint egy hónapon belül többször nevet váltott, illetve népszerűsége szokatlanul gyorsan növekszik.

Az OpenClaw egy nyílt forráskódú AI-asszisztens, amely a leírása szerint lokálisan fut, tartós memóriát használ, és összekapcsolható más rendszerekkel (például chat platformokkal, e-maillel vagy helyi fájlrendszerrel). Ezek a képességek azonban egyben kockázatot is jelenthetnek: ha az asszisztenst nem megfelelően konfigurálják, olyan támadási felület keletkezhet, amely adatszivárogtatásra ad lehetőséget a kiberbűnözők számára.

Az úgynevezett „skill”-ek kifejezetten az OpenClawhoz készült, gyorsan telepíthető bővítmények, amelyek új funkciókat adnak hozzá, vagy speciális feladatokhoz biztosítanak utasításkészleteket. Ezzel szemben a rosszindulatú „skill”-ek látszólag legitim eszközöknek álcázzák magukat, a valós céljuk viszont kártevők terjesztése és érzékeny adatok eltulajdonítása. A megszerezni kívánt információk köre API-kulcsokra, kriptotárcák privát kulcsaira, SSH-hitelesítő adatokra és böngészőkben tárolt jelszavakra terjed ki. A probléma súlyát tovább növeli, hogy Jamieson O’Reilly biztonsági kutató nemrég arra hívta fel a figyelmet, hogy már jelenleg is százával fellelhetők az interneten nyilvánosan elérhető, rosszul konfigurált OpenClaw adminfelületek. Ez azért kritikus fontosságú, mert egy ilyen adminfelület-expozíció önmagában is lehet belépési pont, a rosszindulatú skillek pedig kifejezetten kihasználhatják a felhasználói bizalmat és a telepítési rutinokat.

Január 27. és február 1. között két csomaghalmazban összesen több mint 230 rosszindulatú skill jelent meg a ClawHubon (az asszisztens hivatalos regiszterében) és a GitHubon. A skillek hitelesnek tűnő segédprogramokat személyesítenek meg, például kriptokereskedési automatizálást, pénzügyi eszközöket, illetve közösségimédia- vagy tartalomszolgáltatásokat ígérő kiegészítőket. A háttérben azonban információlopó kártevő komponenseket juttatnak a felhasználó rendszerére.

Az OpenSourceMalware közösségi biztonsági portál jelentése szerint egy jelenleg is folyamatban lévő kampány arra használja a skilleket, hogy információlopó kártevőt terjesszen az OpenClaw felhasználói körében. A rosszindulatú csomagok többsége közel azonos klón, véletlenszerűen generált nevekkel, de vannak, amelyek népszerűvé váltak, és ezres nagyságrendben töltötték le őket. Ez jól mutatja, hogy a legitimnek látszó körítés és a megfelelően megválasztott témák (például kriptovaluták, pénzügyi szolgáltatások) mennyire hatékony social engineering eszközök.

A támadók különös figyelmet fordítottak a hitelesség látszatára: kiterjedt és alapos dokumentációt mellékeltek minden rosszindulatú skillhez, és több helyen hangsúlyosan hivatkoztak egy „AuthTool” nevű eszközre, amelyet a skill „megfelelő működésének kritikus előfeltételeként” tüntettek fel. A fertőzés jellemzően akkor kezdődik, amikor az áldozat követi a dokumentáció utasításait. Ez a módszer a ClickFix jellegű támadásokhoz hasonlítható, ahol a felhasználót ráveszik a kompromittációhoz szükséges lépések végrehajtására.

A valóságban az AuthTool nem legitim függőség, hanem egy kártevő letöltő mechanizmus. MacOS alatt base64-ben kódolt shell parancsként jelenik meg, amely egy külső címről tölt le további payload-okat. Windows rendszeren ezzel szemben egy jelszóval védett ZIP archívum letöltésére és futtatására utasít. Mindkét megoldás célja, hogy a terjesztés észrevétlen legyen, és megnehezítse a gyors, automatikus, felületes ellenőrzést.

A macOS rendszerekre letöltött kártevőt a jelentés NovaStealer-variánsként azonosítja. A leírás alapján a kártevő képes a Gatekeeper megkerülésére is: az „xattr -c” parancs használatával eltávolítja a karanténattribútumokat, majd széles körű fájlrendszer-olvasási jogosultságot, illetve rendszerkomponensekkel való kommunikációt igényel. A célzott adatok köre kifejezetten széles, többek között kriptovaluta-tőzsdei API-kulcsokra, tárcafájlokra és seed phrase-ekre, böngészőbe épülő wallet kiegészítők adataira, a macOS Keychain tartalmára, böngészőjelszavakra, SSH-kulcsokra, felhőhitelesítőkre, Git hitelesítő adatokra, valamint „.env” fájlokra terjed ki. Gyakorlatilag minden olyan adatra, amellyel további hozzáférések építhetők, laterális mozgás végezhető, vagy közvetlen pénzügyi kár okozható.

Ezzel párhuzamosan a Koi Security egy külön vizsgálat során 341 rosszindulatú skill-t azonosított a ClawHubon. Miután elemzőik átvizsgálták a teljes, 2 857 elemből álló repository-t, a talált elemeket egyetlen kampányhoz kötötték. A Koi nemcsak a jelentésekben kiemelt eszközöket azonosította, hanem 29 olyan typosquatting (elgépelésre építő) domaint is talált, amelyek a ClawHub név gyakori elütéseit célozza. Ez klasszikus módszer a felhasználók megtévesztésére, különösen akkor, ha a telepítés vagy a hivatkozások megadása manuálisan történik.

A felhasználók védelme érdekében a Koi Security egy ingyenes, online ellenőrző programot is közzétett, amelybe a letölteni kívánt skill URL-je beilleszthető, és a rendszer biztonsági értékelést ad róla.

Összességében az eset jól szemlélteti, hogy a bővítmény-ökoszisztémák (különösen a gyorsan növekvő, közösségi terjesztésű AI-asszisztensek esetében) mennyire vonzó célpontok. A támadók a legitim csomagformátumot és a dokumentációt használják fel szociális manipulációra, miközben a háttérben klasszikus infostealer-fertőzési láncokat építenek.

(forrás, forrás)