惡意OpenClaw技能套件被用於散佈Remcos與GhostLoader
攻擊鏈路與惡意行為
駭客透過冒牌的OpenClaw技能套件,將惡意軟體如Remcos RAT與GhostLoader植入用戶系統。這些惡意技能以「DeepSeek」等名義偽裝,利用DLL側載技術(DLL sideloading)執行惡意載入,成功在Windows與macOS系統中部署竊資軟體。
惡意技能的規模與分佈
- 在OpenClaw的ClawHub市場中,已發現超過820個惡意技能被上傳,其中包含鍵盤側錄、資料外洩腳本與隱藏shell命令等高風險功能。
- 這些惡意技能透過GitHub與ClawHub等公開平臺發布,針對使用OpenClaw與Claude Code的用戶進行攻擊。
- 部分惡意技能會在後臺將檔案傳送至外部伺服器,導致用戶資料外洩與系統被遠端控制。
攻擊時間與事件背景
自2026年1月27日起,駭客開始在GitHub與ClawHub平臺發布惡意技能套件,持續至2026年3月,期間共發現超過472個惡意技能滲透至ClawHub,嚴重威脅使用者資料安全。
安全警示與後續發展
資安研究團隊警告,當用戶將OpenClaw部署於雲端伺服器以實現即時訪問時,若未審慎驗證技能來源,將極易遭惡意套件攻擊。建議用戶定期掃描AI代理技能目錄,並使用開源工具檢測潛在風險。