Un audit de sécurité de 2 857 « compétences » publié dans ClawHub a détecté 341 modules malveillants faisant partie de campagnes coordonnées, selon le rapport de Sécurité Koi. Ce qui a commencé en tant qu'outil communautaire pour développer un assistant IA est devenu un canal de distribution de logiciels malveillants et un nouveau vecteur de risque dans la chaîne d'approvisionnement logiciel.
ClawHub, le marché des compétences pour OpenClaw, est né pour faciliter aux utilisateurs d'installer des extensions créées par des tiers dans OpenClaw, l'assistant open source précédemment connu comme Moltbot ou Clawdbot. Mais cette ouverture permet également aux acteurs malveillants de télécharger des paquets qui semblent utiles et légitimes. Koi documente qu'une grande partie des compétences engagées incluaient de fausses instructions «pré-exigence» pour forcer l'exécution de code nuisible sur les équipes de victimes.
Le génie social décrit par les chercheurs est simple et efficace: l'utilisateur installe une compétence attrayante - par exemple, un outil pour les portefeuilles Solana ou les utilitaires YouTube - et suit une section qui indique les étapes précédentes. Dans Windows a été demandé de télécharger un ZIP appeléopenclaw-agent.zipde GitHub; dans macOS, les instructions ont exhorté à copier et coller un script hébergé dans glot [.] io directement dans le Terminal. Ce genre d'indication est exactement ce qu'un attaquant doit convaincre quelqu'un d'exécuter le code sans vérifier.
Dans le fichier protégé par mot de passe trouvé par Koi il y a un cheval de Troie avec des capacités d'enregistrement de clés conçues pour capturer les clés API, les mots de passe et d'autres informations sensibles qui pourraient déjà être accessibles par l'assistant lui-même. Pour sa part, le script hébergé dans glot [.] o exécute des commandes osfusées visant à récupérer les étapes ultérieures de l'attaque à partir d'une infrastructure contrôlée par les attaquants. Dans la chaîne d'infection il y a une adresse IP spécifique (91,92,242.30) qui sert à télécharger un autre script et, enfin, un binaire universel Mach-O avec des caractéristiques compatibles avec Voleur atomique (AMOS), un voleur commercial qui selon les résultats est offert sur le marché pour plusieurs centaines de dollars par mois.
En plus de cette famille - appelée par des chercheurs comme ClawHavoc - les attaquants ont utilisé des techniques de suplantation et de typosquating pour camoufler leurs compétences : noms très similaires à ClawHub ou variantes avec des erreurs typographiques, ainsi que des utilitaires cryptomonéda orientés, des robots pour les plates-formes de prédiction comme Polymarket, des fonctions pour télécharger ou résumer des vidéos YouTube, des auto-mises à jour et une intégration supposée avec les outils Google Workspace. Koi a également identifié des compétences qui ont caché une porte arrière de type shell inverse dans le code apparemment fonctionnel et d'autres qui exfiltré les identifiants d'assistant, par exemple du fichier ~ / .clawdbot / .env aux services webhook.
La confirmation de la campagne ne provenait pas d'une seule source. Un chercheur qui publie comme 6mile in OpenSourceMalware Il a signalé une activité très similaire, notant que les modules diffusent des logiciels malveillants visant à voler des informations liées aux échanges, clés de portefeuilles privés, identifiants SSH et mots de passe stockés dans les navigateurs. L'adéquation des infrastructures entre les échantillons pointus renforce l'hypothèse d'une opération coordonnée à grande échelle.
Le problème de fond est l'ouverture de la conception. Griffe Hub vous permet de publier des compétences avec une exigence minimale: que l'auteur a un compte GitHub de seulement une semaine. Cette faible barrière, associée à la curiosité croissante du déploiement d'assistants privés, a incité de nombreuses personnes à exécuter en continu OpenLaw sur des machines telles que le Mac Mini, qui a déjà attiré l'attention dans les médias tels que Entreprise Insider et généré des promotions matérielles sur des sites comme Mashable.
Face à l'escalade, l'équipe OpenClaw a ajouté une fonction pour que les utilisateurs authentifiés puissent signaler des compétences suspectes. Selon la documentation officielle, chaque personne peut conserver jusqu'à 20 rapports actifs et les objets qui accumulent plus de trois plaintes uniques sont automatiquement cachés du catalogue. Cette mesure représente une première étape, mais n'élimine pas le risque inhérent à un dépôt où tout le monde peut publier du code avec peu de vérification. Vous pouvez voir la section modération dans la documentation OpenClaw Voilà..
Les incidents autour d'OpenClaw et de ClawHub ont également rouvert un débat plus large sur la sécurité des agents d'IA qui peuvent gérer des commandes locales, stocker la mémoire persistante et communiquer avec des ressources externes. Palo Alto Networks a publié une analyse qui avertit que lorsqu'un agent a accès à des données privées, consomme du contenu sans garantie d'intégrité et peut interagir avec le réseau, une combinaison dangereuse est créée que certains appellent la « trilogie létale » ou « trifecte létale » - un terme inventé par le développeur Simon Willison - qui rend ces agents particulièrement vulnérables aux attaques sophistiquées et aux opérations d'activation « décalées » ou retardées. Palo Le blog d'Alto résume comment la mémoire persistante peut convertir les exploits de points en menaces qui sont assemblées et détonées au fil du temps; vous pouvez lire cette analyse sur le site de Réseaux Palo Alto et la réflexion de Simon Willison sur le " trifet mortel. "
Quelles leçons cet épisode laisse-t-il ? Premièrement, la confiance implicite dans les modules publiés par des tiers peut être exploitée relativement facilement. Deuxièmement, que les instructions pour exécuter des commandes dans le Terminal sont un moyen classique pour l'utilisateur de faire le travail de "activer" malware par lui-même par copie-pas. Troisièmement, la prolifération d'agents à mémoire persistante et l'accès aux ressources locales exigent des mesures de contrôle plus strictes dans les catalogues d'extension et de compétences.
Recommandations pratiques: ne lancez pas de scripts collés à partir de pages inconnues, examinez attentivement toute commande pré-requise pour télécharger ou exécuter du code, maintenez des sauvegardes et des environnements séparés : si vous utilisez un assistant 24/7, envisagez d'utiliser des machines et des comptes isolés sans informations sensibles. Pour les gestionnaires de plateforme comme ClawHub, la très faible friction de publication suggère la nécessité d'un examen plus automatisé et humain, ainsi que la possibilité de signatures obligatoires et d'examens pour les compétences demandant des permis sensibles.
Cet incident est un appel de réveil : la combinaison de la curiosité à propos des nouveaux outils IA, des plateformes ouvertes et des acteurs malveillants prêts à monétiser le vol d'identités et de clés rend inévitable que nous verrons des tentatives plus similaires si des défenses plus rigides ne sont pas adoptées. Pour approfondir la recherche technique, il est recommandé de lire le rapport Koi Security et le suivi OpenSourceMalware : Sécurité Koi et OpenSourceMalware. Il est également utile de consulter la documentation d'OpenClaw sur la modération de ClawHub Voilà..
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...