Una auditoría de seguridad sobre 2.857 “skills” publicados en ClawHub detectó 341 módulos maliciosos que formaban parte de campañas coordinadas, según el informe de Koi Security. Lo que comenzó como una herramienta comunitaria para ampliar un asistente de IA se ha convertido en un canal de distribución de malware y un nuevo vector de riesgo en la cadena de suministro de software.
ClawHub, el mercado de skills para OpenClaw, nació para facilitar que los usuarios instalen extensiones creadas por terceros en OpenClaw, el asistente de código abierto antes conocido como Moltbot o Clawdbot. Pero esa apertura también facilita que actores maliciosos suban paquetes que aparentan ser útiles y legítimos. Koi documenta que una gran parte de las skills comprometidas incluían instrucciones falsas de “prerrequisitos” para forzar la ejecución de código dañino en los equipos de las víctimas.
La ingeniería social que describen los investigadores es simple y efectiva: el usuario instala una skill atractiva —por ejemplo, una herramienta para wallets de Solana o utilidades para YouTube— y sigue una sección que indica pasos previos. En Windows se pedía descargar un ZIP llamado openclaw-agent.zip desde GitHub; en macOS, las instrucciones instaban a copiar y pegar un script alojado en glot[.]io directamente en la Terminal. Ese tipo de indicaciones es exactamente lo que necesita un atacante para convencer a alguien de que ejecute código sin revisar.
Dentro del archivo protegido con contraseña encontrado por Koi hay un troyano con capacidades de registro de teclas diseñado para capturar claves de API, contraseñas y otra información sensible que ya pudiera estar accesible desde el propio asistente. Por su parte, el script alojado en glot[.]io ejecuta comandos ofuscados cuyo objetivo es recuperar etapas posteriores del ataque desde una infraestructura controlada por los atacantes. En la cadena de infección aparece una dirección IP concreta (91.92.242.30) que sirve para descargar otro script y, finalmente, un binario Mach-O universal con características consistentes con Atomic Stealer (AMOS), un “stealer” comercial que según los hallazgos se ofrece en el mercado por varios cientos de dólares al mes.
Además de esta familia —denominada por los investigadores como ClawHavoc— los atacantes usaron técnicas de suplantación y typosquatting para camuflar sus skills: nombres muy parecidos a ClawHub o variantes con errores tipográficos, junto a utilidades orientadas a criptomonedas, bots para plataformas de predicción como Polymarket, funciones para descargar o resumir vídeos de YouTube, autoactualizadores y supuestas integraciones con herramientas de Google Workspace. Koi también identificó skills que escondían un backdoor de tipo reverse shell dentro de código aparentemente funcional y otros que exfiltraban credenciales del asistente, por ejemplo del archivo ~/.clawdbot/.env hacia servicios de webhook.
La confirmación de la campaña no vino de una sola fuente. Un investigador que publica como 6mile en OpenSourceMalware reportó una actividad muy parecida, señalando que los módulos difundían malware orientado a robar información relacionada con exchanges, claves privadas de wallets, credenciales SSH y contraseñas almacenadas en navegadores. La coincidencia de infraestructura entre muestras apuntadas refuerza la hipótesis de una operación coordinada a gran escala.
El problema de fondo es la apertura por diseño. ClawHub permite publicar skills con un requisito mínimo: que el autor tenga una cuenta de GitHub con apenas una semana de antigüedad. Esa baja barrera combinada con la creciente curiosidad por desplegar asistentes privados impulsó a muchas personas a ejecutar OpenClaw de forma continua en máquinas como los Mac Mini, algo que ya atrajo atención en medios como Business Insider y generó promociones de hardware en sitios como Mashable.
Ante la escalada, el equipo de OpenClaw ha añadido una función para que usuarios autenticados puedan reportar skills sospechosas. Según la documentación oficial, cada persona puede mantener hasta 20 reportes activos y los objetos que acumulen más de tres denuncias únicas se ocultan automáticamente del catálogo. Esa medida representa un primer paso, pero no elimina el riesgo inherente a un repositorio donde cualquiera puede publicar código con poca verificación. Puedes consultar la sección de moderación en la documentación de OpenClaw aquí.
Los incidentes alrededor de OpenClaw y ClawHub también han reabierto un debate más amplio sobre la seguridad de los agentes de IA que pueden ejecutar comandos locales, almacenar memoria persistente y comunicarse con recursos externos. Palo Alto Networks publicó un análisis que advierte que cuando un agente tiene acceso a datos privados, consume contenido sin garantía de integridad y puede interactuar con la red, se crea una combinación peligrosa que algunos denominan la “trilogía letal” o “lethal trifecta” —término acuñado por el desarrollador Simon Willison— que hace a estos agentes especialmente vulnerables a ataques sofisticados y a operaciones de “time-shifted” o de activación retardada. El blog de Palo Alto resume cómo la memoria persistente puede convertir exploits puntuales en amenazas que se ensamblan y detonan con el tiempo; puedes leer ese análisis en el sitio de Palo Alto Networks y la reflexión de Simon Willison en su entrada sobre la “lethal trifecta”.
¿Qué lecciones deja este episodio? Primero, que la confianza implícita en los módulos publicados por terceros puede ser explotada con relativa facilidad. Segundo, que las instrucciones para ejecutar comandos en la Terminal son una vía clásica para que el usuario haga el trabajo de “activar” el malware por sí mismo mediante copy-paste. Y tercero, que la proliferación de agentes con memoria persistente y acceso a recursos locales exige medidas de control más estrictas en los catálogos de extensiones y skills.
Recomendaciones prácticas: no ejecutar scripts pegados desde páginas desconocidas, revisar con esmero cualquier prerequisito que pida descargar o ejecutar código, mantener backups y separar entornos: si vas a correr un asistente 24/7, considera usar máquinas y cuentas aisladas sin información sensible. Para los responsables de plataformas como ClawHub, la bajísima fricción de publicación sugiere la necesidad de un mayor escrutinio automatizado y humano, así como la posibilidad de firmas y revisiones obligatorias para skills que soliciten permisos sensibles.
Este incidente es una llamada de atención: la combinación de curiosidad por nuevas herramientas de IA, plataformas abiertas y actores maliciosos dispuestos a monetizar el robo de credenciales y claves hace inevitable que veremos más intentos similares si no se adoptan defensas más rígidas. Para profundizar en la investigación técnica, el informe de Koi Security y el seguimiento de OpenSourceMalware son lecturas recomendadas: Koi Security y OpenSourceMalware. También es útil revisar la documentación de OpenClaw sobre la moderación de ClawHub aquí.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...