慢霧：ClawHub開發者請注意釣魚和憑據洩露風險

事件背景

慢霧科技首席信息安全官23pds發文提醒，ClawHub開發者需警惕釣魚及憑據洩露風險。目前ClawHub依賴開發者使用GitHub一鍵登錄，存在安全漏洞。

攻擊路徑

• 攻擊者首先竊取開發者的GitHub憑據
• 獲取GitHub權限後，以開發者身份登錄ClawHub
• 發佈惡意Skills並植入後門
• 用戶下載安裝後執行惡意代碼，導致系統被入侵

相關風險說明

此前Sha1-Hulud蠕蟲曾竊取大量開發者的GitHub憑據，攻擊者可能趁機利用ClawHub的登錄機制進行攻擊。

此外，有報道指出Clawdbot網關存在暴露風險，數百個API密鑰和私聊記錄可能被攻擊者利用。

目前，ClawHub的開發者需加強身份驗證與權限管理，以防範此類安全威脅。

來源：https://www.panewslab.com/zh/articles/019ce556-abd2-75f8-9765-12f34c11c5b4