Skills maliciosas no ClawHub roubam dados de usuários do OpenClaw

Auditoria encontrou 341 skills maliciosas em um ecossistema de extensões para assistente de IA, incluindo campanhas com stealers, backdoors e exfiltração de credenciais do bot.

Componente	ClawHub, marketplace de skills de terceiros para usuários do OpenClaw, assistente de IA auto-hospedado anteriormente conhecido como Clawdbot e Moltbot.
Vetor	Skills publicadas no marketplace usam pré-requisitos falsos, documentação convincente, arquivos baixados de repositórios GitHub e scripts hospedados em glot[.]io para induzir execução manual em Windows e macOS.
Impacto	Foram identificadas 341 skills maliciosas; 335 delas associadas à campanha ClawHavoc, com entrega de Atomic Stealer no macOS, trojan com keylogging no Windows, backdoors reversos e exfiltração de credenciais do bot.
Prioridade	Inventariar skills instaladas, remover extensões suspeitas, revisar pré-requisitos executados manualmente, rotacionar chaves e credenciais expostas e restringir a instalação de skills não verificadas.
Artefatos	Foram citados nomes como `solana-wallet-tracker`, `youtube-summarize-pro`, `better-polymarket`, `polymarket-all-in-one`, `rankaj` e o caminho `~/.clawdbot/.env`.
IoCs	A infraestrutura citada inclui 91.92.242[.]30, glot[.]io e webhook[.]site; indicadores devem ser tratados como defangados e usados apenas para triagem defensiva.

Resumo técnico

Uma auditoria em 2.857 skills disponíveis no ClawHub identificou 341 extensões maliciosas distribuídas em múltiplas campanhas contra usuários do OpenClaw. O ClawHub funciona como um marketplace para facilitar a busca e instalação de skills de terceiros, enquanto o OpenClaw é um assistente de IA auto-hospedado que pode ter acesso a dados locais, credenciais, chaves de API e integrações operacionais. Essa combinação transforma uma extensão aparentemente útil em um ponto de entrada com impacto além do código da própria skill, porque o bot pode operar próximo de arquivos, memória persistente, credenciais e automações do usuário.

O conjunto mais expressivo recebeu o nome ClawHavoc e envolve 335 skills que usam pré-requisitos falsos para conduzir a instalação de malware. A técnica não depende apenas de exploração automatizada: a documentação das skills apresenta aparência profissional e orienta o usuário a instalar componentes adicionais antes de usar a funcionalidade prometida. Entre os exemplos citados aparecem utilitários ligados a carteiras, automação financeira, YouTube, Polymarket, redes sociais e integrações com Google Workspace. O risco principal está no abuso da confiança depositada em extensões de IA e na falta de uma barreira forte de publicação no marketplace.

No macOS, a cadeia observada leva à obtenção de um binário universal Mach-O com características compatíveis com o Atomic Stealer, malware de roubo de informações voltado a hosts Apple. No Windows, a campanha usa um arquivo compactado protegido por senha contendo um trojan com capacidade de keylogging. Além desse grupo, outras skills analisadas escondem backdoors reversos dentro de código funcional ou extraem credenciais do arquivo ~/.clawdbot/.env para serviços externos. Para defesa, a prioridade não é apenas remover uma skill específica, mas revisar o modelo de confiança usado na instalação de extensões.

Fluxo técnico

A cadeia começa com uma skill que se apresenta como legítima e oferece uma função plausível para o usuário do OpenClaw, como rastreamento de carteira, sumarização de vídeos, automação de negociação ou integração de produtividade. A documentação inclui uma seção de pré-requisitos que solicita ações fora do fluxo normal da aplicação. Em Windows, o usuário é induzido a obter um arquivo chamado openclaw-agent.zip a partir de um repositório GitHub. Em macOS, a instrução orienta a copiar um script hospedado em glot[.]io e executá-lo no Terminal; o comando operacional deve ser omitido em procedimentos defensivos, mas o efeito observado é a busca de estágios adicionais em infraestrutura controlada pelo operador.

No caminho de macOS, o script contém comandos de shell ofuscados e aciona a comunicação com 91.92.242[.]30 para recuperar outro script. Esse segundo estágio volta ao mesmo servidor para obter um binário universal Mach-O. O comportamento descrito para esse binário é consistente com Atomic Stealer, família voltada à coleta de dados sensíveis em sistemas macOS. A escolha desse sistema operacional é relevante porque há usuários mantendo máquinas Apple, incluindo Mac Minis, dedicadas a executar assistentes de IA de forma contínua. Um host mantido 24x7 com acesso a tokens e automações pode aumentar a janela de coleta e persistência operacional do atacante.

No caminho de Windows, o arquivo compactado protegido por senha carrega um trojan com funcionalidade de keylogging. A capacidade de capturar entradas do teclado torna o risco direto para chaves de API, credenciais de contas, senhas e segredos manipulados no ambiente do usuário. O contexto também descreve skills que mantêm a funcionalidade aparente enquanto escondem uma backdoor reversa, como nos casos better-polymarket e polymarket-all-in-one, ou que extraem credenciais presentes em ~/.clawdbot/.env para webhook[.]site, como no caso rankaj. Isso indica mais de um padrão de abuso: instalação socialmente induzida, código funcional com canal oculto e coleta direta de segredos do bot.

Superfície afetada

A superfície exposta envolve usuários do OpenClaw que instalaram skills a partir do ClawHub, especialmente quando aceitaram pré-requisitos externos ou copiaram instruções de instalação para o sistema operacional. O risco se concentra em ambientes nos quais o assistente mantém acesso a contas, chaves de API, carteiras, tokens de serviços, arquivos de configuração e integrações com ferramentas externas. Como o OpenClaw é auto-hospedado, a exposição pode estar no endpoint pessoal, em um servidor dedicado ou em um host mantido continuamente para automação.

As categorias observadas incluem typosquats relacionados ao próprio ClawHub, bots de Polymarket, utilitários de YouTube, ferramentas financeiras, rastreadores de tendências em redes sociais e falsas integrações com Gmail, Calendar, Sheets e Drive. Esses temas são relevantes porque tendem a atrair usuários que já pretendem conectar dados sensíveis, contas autenticadas ou fontes de informação privadas ao assistente. A fragilidade estrutural citada é que o ClawHub permite uploads por qualquer pessoa, com a restrição de que o publicador tenha uma conta GitHub com pelo menos uma semana de idade.

A superfície também inclui a memória persistente e a capacidade do agente de consumir conteúdo não confiável e se comunicar externamente. Em um assistente com acesso a dados privados, entrada de terceiros e saídas para rede ou ferramentas, instruções maliciosas podem ter efeito diferido quando gravadas em memória, fragmentadas em partes aparentemente inofensivas ou acionadas apenas quando o estado interno e as permissões disponíveis se alinham. Esse aspecto não substitui o malware descrito, mas amplia o impacto potencial de skills maliciosas em ambientes de IA operacional.

Instalações do OpenClaw que usam skills do ClawHub sem verificação de origem, reputação e código.
Hosts Windows e macOS em que usuários seguiram pré-requisitos externos apresentados pela documentação das skills.
Ambientes com chaves de API, credenciais de exchanges, senhas de navegador, chaves SSH, tokens de serviços e arquivos .env acessíveis ao bot.
Skills com nomes relacionados a ClawHub, Polymarket, YouTube, finanças, redes sociais e Google Workspace.

Hunting e telemetria

A investigação defensiva deve começar pelo inventário das skills instaladas e pelo histórico de instalação executado no host. Procure skills com documentação que exigiu pré-requisitos externos, downloads manuais, execução de scripts no Terminal, arquivos compactados protegidos por senha ou dependências hospedadas fora de canais esperados. O objetivo é reconstruir quais extensões foram instaladas, quais ações o usuário executou e se houve contato com infraestrutura associada à cadeia. O arquivo ~/.clawdbot/.env deve ser tratado como possível fonte de segredos expostos, com revisão de permissões, acessos e histórico de leitura por processos incomuns.

Em macOS, a telemetria relevante inclui processos de shell com comandos ofuscados, downloads de scripts em sequência, criação ou execução de binários Mach-O universais recentes e conexões para 91.92.242[.]30. Em Windows, a defesa deve procurar evidências de extração e execução de openclaw-agent.zip, processos com comportamento de keylogging, criação de binários fora de diretórios esperados e conexões de saída após a instalação de uma skill. A presença de webhook[.]site em logs de rede ou em código de skill é um sinal forte de possível exfiltração de credenciais.

Para backdoors reversos escondidos em código funcional, a análise precisa comparar comportamento esperado da skill com conexões de rede não documentadas, execução de subprocessos e abertura de sessões externas. Em ambientes com proxy, EDR ou logs de DNS, relacione os eventos à linha do tempo de instalação das skills. Em repositórios e caches locais, procure nomes de pacotes, scripts auxiliares e arquivos recém-baixados associados às categorias citadas. A ausência de um único IoC não deve encerrar a investigação, porque a campanha inclui múltiplas skills e pode variar nomes, repositórios e documentação.

Conexões de saída para 91.92.242[.]30, glot[.]io ou webhook[.]site após instalação de skills.
Execução de scripts de shell ofuscados, downloads encadeados e criação recente de binários Mach-O universais em macOS.
Arquivos compactados como openclaw-agent.zip, especialmente quando protegidos por senha ou obtidos de repositórios GitHub desconhecidos.
Leituras ou cópias incomuns de ~/.clawdbot/.env e acesso a chaves de API, credenciais de exchange, senhas de navegador e chaves SSH.
Skills funcionais que também abrem conexões externas, executam subprocessos ou contêm lógica de backdoor reverso.

Mitigação

A resposta deve tratar o incidente como risco de cadeia de suprimentos e comprometimento de credenciais, não apenas como limpeza de uma extensão. Primeiro, suspenda o uso de skills suspeitas e isole hosts nos quais pré-requisitos externos foram executados. Em seguida, colete evidências de instalação, logs de rede, histórico de shell, arquivos baixados e processos recentes. A remoção da skill deve ser acompanhada por análise de artefatos persistentes, porque a cadeia inclui estágios baixados fora do diretório da extensão e pode deixar binários ou scripts independentes.

Depois da contenção, rotacione segredos que possam ter sido acessados pelo OpenClaw ou pelo host: chaves de API, tokens de serviços, credenciais de exchanges, carteiras, chaves SSH, senhas armazenadas no navegador e valores presentes em arquivos .env. A rotação deve ocorrer a partir de um ambiente limpo e incluir revogação de sessões ativas quando aplicável. Para usuários que mantêm o assistente rodando 24x7, também é necessário revisar contas de serviço, permissões de integração e escopo de acesso do bot, reduzindo privilégios que não sejam essenciais.

No nível de governança, a instalação de skills deve passar por allowlist, revisão de código e bloqueio de pré-requisitos que executem comandos externos sem validação. O ClawHub passou a oferecer recurso de denúncia para usuários autenticados, com limite de até 20 denúncias ativas por usuário e ocultação automática de skills com mais de três denúncias únicas. Esse mecanismo ajuda a reduzir exposição no marketplace, mas não substitui controles locais. Equipes que usam OpenClaw em ambientes sensíveis devem manter registro das skills aprovadas, revisar atualizações e monitorar mudanças em documentação, dependências e comportamento de rede.

Remover ou desabilitar skills associadas a pré-requisitos externos, downloads não verificados ou categorias suspeitas citadas na investigação.
Isolar hosts que executaram scripts ou binários associados à instalação e preservar logs antes da limpeza.
Rotacionar chaves de API, tokens, credenciais de exchange, chaves SSH, senhas de navegador e segredos presentes em ~/.clawdbot/.env.
Bloquear execução de scripts copiados de documentação de skills e exigir revisão de código para extensões de terceiros.
Monitorar conexões para infraestrutura defangada citada e investigar qualquer comunicação externa não documentada por uma skill.
Usar o recurso de denúncia do marketplace quando uma skill suspeita for identificada, mantendo também controles internos de allowlist e auditoria.

Skills maliciosas no ClawHub roubam dados de usuários do OpenClaw

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Skills maliciosas no ClawHub roubam dados de usuários do OpenClaw

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato