Infostealer captura arquivos de configuração e tokens de gateway do OpenClaw

A infecção atribuída provavelmente a uma variante do Vidar coletou arquivos operacionais de agentes OpenClaw, incluindo token de gateway, chaves de pareamento e diretrizes internas do assistente.

Componente	Ambiente de configuração do OpenClaw, incluindo `openclaw.json`, `device.json` e `soul.md`.
Vetor	Infostealer provavelmente relacionado ao Vidar executou rotina ampla de coleta de arquivos por extensões e diretórios associados a dados sensíveis.
Impacto	O token de autenticação do gateway pode permitir conexão remota à instância local do OpenClaw se a porta estiver exposta, ou uso do token para requisições autenticadas ao gateway de IA.
Prioridade	Conter a infecção no endpoint, revogar tokens e chaves capturados, verificar exposição do gateway e auditar configurações e habilidades instaladas.
Artefatos	`openclaw.json` contém token de gateway, e-mail redigido da vítima e caminho de workspace; `device.json` contém chaves criptográficas de pareamento e assinatura; `soul.md` registra princípios operacionais e limites comportamentais do agente.
Ecossistema	O OpenClaw também aparece associado a riscos em ClawHub, instâncias expostas e limitações de remoção de contas no Moltbook.

Resumo técnico

Uma infecção por infostealer conseguiu exfiltrar o ambiente de configuração de uma vítima que usava OpenClaw, plataforma agente anteriormente conhecida como Clawdbot e Moltbot. A atividade foi atribuída como provavelmente relacionada a uma variante do Vidar, um infostealer comercial ativo desde 2018. O ponto central do caso não é a existência de um módulo especializado em OpenClaw dentro do malware, mas a consequência operacional de rotinas genéricas de coleta de arquivos quando elas passam por diretórios onde agentes de IA armazenam tokens, chaves, caminhos locais e instruções persistentes.

A coleta atingiu arquivos que descrevem identidade, autenticação e comportamento do agente. O arquivo openclaw.json incluía o token de autenticação do gateway, um endereço de e-mail redigido e o caminho de workspace da vítima. O device.json continha chaves criptográficas usadas para pareamento seguro e operações de assinatura dentro do ecossistema OpenClaw. O soul.md registrava princípios operacionais, diretrizes comportamentais e limites éticos do agente. Em conjunto, esses dados representam mais do que credenciais isoladas: eles descrevem como o assistente está configurado para operar, em qual ambiente trabalha e quais materiais ele usa para se autenticar.

O impacto depende das condições do ambiente comprometido. O token do gateway pode ser usado para se conectar à instância local do OpenClaw quando a porta correspondente estiver exposta, ou para se passar pelo cliente em requisições autenticadas ao gateway de IA. O material analisado não confirma exploração remota contra a vítima, nem informa domínio, IP, hash, versão vulnerável ou comando usado pelo operador. A leitura defensiva correta é tratar a exfiltração como comprometimento de segredo e de contexto operacional do agente, com prioridade para contenção do endpoint e invalidação dos artefatos capturados.

Fluxo técnico

O fluxo observado começa com a infecção por um infostealer no endpoint do usuário. Em vez de procurar apenas credenciais de navegador, sessões de mensageria ou carteiras, a rotina de coleta percorre extensões e nomes de diretórios associados a dados sensíveis. Essa abordagem ampla aumenta a chance de capturar arquivos de ferramentas emergentes, mesmo sem conhecimento profundo do formato de cada aplicação. No caso do OpenClaw, a rotina alcançou arquivos que ficavam no ambiente de configuração do agente e que continham materiais suficientes para reconstruir parte da identidade operacional da instância.

O arquivo openclaw.json é o componente mais sensível para controle de acesso, porque armazena o token de gateway. Se esse token não for revogado após a infecção, um operador que tenha acesso ao material exfiltrado pode tentar reutilizá-lo em fluxos autenticados. A viabilidade prática depende de exposição de rede, validade do token e controles adicionais do ambiente. Quando a porta do serviço local está acessível fora do host esperado, o risco aumenta porque o token deixa de ser apenas um segredo local e passa a permitir interação remota com a instância do agente.

O device.json amplia o problema ao expor chaves criptográficas de pareamento e assinatura. Mesmo sem uma exploração de código confirmada, chaves desse tipo devem ser tratadas como identidade de dispositivo comprometida. O soul.md adiciona uma dimensão menos comum em incidentes de infostealer: o roubo de instruções persistentes e limites comportamentais do agente. Para defesa, isso importa porque o atacante pode entender como o assistente foi orientado, quais restrições ele segue e como o fluxo de trabalho do usuário foi estruturado. Esse material pode ser usado para preparar abuso mais convincente contra o próprio usuário ou contra sistemas integrados ao agente.

O caso também ocorre em um momento de pressão sobre o ecossistema do OpenClaw. Mantenedores anunciaram parceria com o VirusTotal para varrer habilidades maliciosas enviadas ao ClawHub, estabelecer modelo de ameaça e adicionar auditoria de possíveis configurações incorretas. Separadamente, foi descrita uma campanha de habilidades maliciosas no ClawHub que evita a detecção direta ao hospedar malware em sites semelhantes ao OpenClaw e usar os arquivos SKILL.md como chamariz, sem embutir o payload no próprio arquivo da habilidade. Esse deslocamento reduz a utilidade de verificações baseadas apenas no conteúdo enviado ao registro.

Outro ponto do ecossistema envolve o Moltbook, fórum voltado a agentes de IA, principalmente instâncias executando OpenClaw. Foi identificado que uma conta de agente criada no Moltbook não pode ser apagada, o que impede remoção direta da conta e dos dados associados pelo usuário. Além disso, análise de inteligência de ameaças encontrou centenas de milhares de instâncias OpenClaw expostas, com risco condicionado de execução remota de código em serviços acessíveis. O contexto não confirma exploração ativa dessas instâncias, mas a combinação de exposição, permissões concedidas ao agente e tokens reutilizáveis aumenta a severidade operacional.

Superfície afetada

A superfície afetada inclui endpoints de usuários que executam OpenClaw, diretórios locais de configuração do agente, gateways acessíveis por rede e integrações que concedem ao agente permissões sobre e-mail, APIs, serviços em nuvem ou recursos internos. Quando um agente de IA possui autoridade para agir em nome do usuário, um segredo roubado não representa apenas perda de sessão: ele pode permitir requisições autenticadas em um componente que já tem permissões delegadas no ambiente.

Ambientes profissionais que adotaram OpenClaw rapidamente precisam mapear onde os arquivos de configuração são armazenados, quais tokens são persistentes, como chaves de pareamento são rotacionadas e quais portas locais foram expostas por conveniência operacional. A presença de habilidades obtidas por registros ou sites semelhantes ao projeto aumenta a superfície de supply chain, especialmente quando o conteúdo da habilidade aponta para artefatos hospedados fora do próprio ClawHub.

Endpoints com sinais de infecção por infostealer e presença de arquivos openclaw.json, device.json ou soul.md em diretórios de trabalho do agente.
Instâncias OpenClaw com gateway local acessível por interfaces de rede além do escopo esperado do host do usuário.
Tokens de gateway, chaves de pareamento e chaves de assinatura armazenados em disco após a execução do agente.
Habilidades instaladas a partir do ClawHub ou de sites semelhantes ao OpenClaw que usam referências externas para baixar ou acionar conteúdo.
Contas de agentes no Moltbook que não podem ser removidas pelo usuário depois da criação.

Hunting e telemetria

A investigação deve começar no endpoint, porque a coleta foi feita por malware de roubo de informações. Procure evidências de execução de infostealer, criação de arquivos compactados temporários, leitura incomum de diretórios de configuração e atividade de rede após acesso aos arquivos do OpenClaw. Como o contexto não fornece hash, domínio ou IP, a caça não deve depender de IoCs específicos; o caminho mais confiável é correlacionar acesso a artefatos sensíveis do agente com processos não associados ao OpenClaw ou ao fluxo normal do usuário.

Em rede e identidade, a prioridade é verificar se o gateway OpenClaw recebeu requisições autenticadas fora do padrão esperado. Mudanças de origem, horários incomuns, sequência anormal de chamadas e uso de token após suspeita de infecção são sinais mais importantes do que uma assinatura estática. Em ambientes com proxy, EDR ou telemetria de host, eventos de leitura de openclaw.json, device.json e soul.md por processos desconhecidos devem gerar alerta de alta prioridade, porque esses arquivos combinam segredo, identidade e contexto comportamental.

No ecossistema de habilidades, a defesa deve procurar instalações recentes, alterações em arquivos SKILL.md e referências a domínios parecidos com OpenClaw. Como a técnica descrita usa a habilidade como chamariz e hospeda o malware externamente, a validação precisa acompanhar URLs referenciadas, reputação de domínio, redirecionamentos e downloads iniciados pelo agente ou pelo instalador da habilidade. Para instâncias expostas, inventário de portas e serviços deve confirmar se o gateway está limitado ao host esperado ou acessível por redes mais amplas.

Leitura de openclaw.json, device.json ou soul.md por processos que não fazem parte do OpenClaw nem de ferramentas administrativas aprovadas.
Conexões autenticadas ao gateway OpenClaw vindas de origem, horário ou sequência de requisições incompatíveis com o uso normal do usuário.
Persistência de token de gateway em endpoints que tiveram alerta de infostealer ou comportamento de coleta de arquivos sensíveis.
Habilidades do ClawHub com referências externas a sites semelhantes ao OpenClaw, especialmente quando o arquivo local não contém payload evidente.
Instâncias OpenClaw expostas em rede quando o uso esperado deveria ficar restrito ao ambiente local.

Mitigação

A resposta deve tratar os arquivos exfiltrados como material comprometido. Primeiro, isole o endpoint suspeito, preserve evidências relevantes e remova a infecção por infostealer com apoio de EDR ou análise forense. Em seguida, revogue o token do gateway, regenere chaves de pareamento e assinatura associadas ao device.json e revalide a configuração do agente antes de recolocar o ambiente em produção. Apenas limpar o malware sem invalidar os segredos mantém aberta a possibilidade de reutilização posterior do material roubado.

A exposição de rede do OpenClaw precisa ser revista junto com permissões concedidas ao agente. Gateways locais devem ficar acessíveis somente no escopo necessário, e qualquer exceção deve ter autenticação, registro e controle de origem. Quando o agente tiver permissões sobre e-mail, APIs, nuvem ou recursos internos, a revisão deve incluir logs desses serviços para identificar ações realizadas depois da provável janela de comprometimento. Se houver uso de habilidades do ClawHub, remova ou desative componentes recém-instalados até verificar origem, referências externas e finalidade defensável.

Para reduzir o risco recorrente, equipes devem classificar arquivos de configuração de agentes de IA como segredos de alto valor, aplicar monitoramento de acesso em disco e incluir esses caminhos em políticas de resposta a infostealer. Registros de habilidades precisam de análise que vá além do arquivo enviado: referências externas, domínios parecidos, cadeia de redirecionamento e comportamento em execução também fazem parte da superfície. Contas e dados de agentes em serviços auxiliares, como o Moltbook, devem ser avaliados antes da adoção, principalmente quando o serviço não oferece exclusão de conta e remoção dos dados associados.

Isolar endpoints suspeitos, coletar evidências e concluir a remoção do infostealer antes de restaurar o uso normal do agente.
Revogar tokens de gateway e regenerar chaves criptográficas relacionadas a pareamento e assinatura após qualquer suspeita de exfiltração.
Restringir a exposição do gateway OpenClaw à interface e à rede estritamente necessárias, com validação de origem e registro de requisições.
Auditar habilidades instaladas, referências externas e sites semelhantes ao OpenClaw antes de permitir execução em ambientes com acesso a dados reais.
Revisar permissões concedidas ao agente em e-mail, APIs, nuvem e recursos internos, procurando ações realizadas após a janela provável de infecção.

Infostealer captura arquivos de configuração e tokens de gateway do OpenClaw

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Infostealer captura arquivos de configuração e tokens de gateway do OpenClaw

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato