惡意OpenClaw技能套件被用於散佈Remcos與GhostLoader
攻擊鏈路與惡意行為
根據ThreatLabz的報告,惡意OpenClaw技能套件透過兩個獨立的感染路徑,分佈Remcos遠端存取工具(RAT)與GhostLoader竊取軟體。此攻擊鏈路顯示,一旦使用者安裝被惡意汙染的技能,系統將被植入竊取資料的惡意軟體。
惡意技能市場擴張
在OpenClaw的ClawHub市場中,已發現超過820個惡意技能被上傳,這些技能透過類似npm套件或瀏覽器擴充的功能,隱藏於合法技能市集之中,成功誘騙用戶安裝。
惡意行為與風險
- 鍵盤側錄:部分惡意技能可記錄用戶鍵盤輸入,導緻密碼與敏感資料外洩。
- 資料外洩腳本:自動將本地檔案與專案資料上傳至遠端伺服器。
- 隱藏後門:透過隱藏的shell命令與後臺程序,持續監控系統並與外部伺服器通訊。
- 權限濫用:一旦安裝,攻擊者可取得系統存取權限,並執行任意指令。
攻擊手法與案例
威脅情報公司Huntress指出,有人在2026年2月2日至10日間,於GitHub設置假的OpenClaw安裝專案,一旦使用者下載並執行,電腦即會被植入惡意軟體,進而導致系統被控制。
安全警示
當用戶將OpenClaw部署至雲端伺服器以實現即時訪問時,若未審慎檢視技能內容,將面臨嚴重安全風險。研究人員警告,惡意技能可能竊取SSH金鑰與API Token,導致整個系統遭入侵。