黑客利用恶意MoltBot技术推送窃取密码的恶意软件

admin
admin
admin
0
文章
0
评论
2026-02-06 02:02:08 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 针对个人AI助手OpenClaw的恶意软件攻击激增,攻击者上传超过230个伪装成合法工具的恶意技能包,利用虚假文档诱导用户下载恶意载荷以窃取凭证和加密货币密钥。由于平台无法完全审查技能,建议用户将AI助手隔离在虚拟机中运行并限制系统权限以确保安全。 综合评分: 88 文章分类: 恶意软件,威胁情报,数据安全,安全意识

cover_image

黑客利用恶意 MoltBot 技术推送窃取密码的恶意软件

Rhinoer Rhinoer

犀牛安全

2026年2月5日 00:00 江苏

不到一周的时间里,针对个人 AI 助手 OpenClaw(以前称为 Moltbot 和 ClawdBot)的 230 多个恶意软件包已发布在该工具的官方注册表和 GitHub 上。

这些被称为“技能”的软件包伪装成合法工具,用来传播恶意软件,窃取敏感数据,例如 API 密钥、钱包私钥、SSH 凭证和浏览器密码。

该项目最初名为 ClawdBot,不到一个月的时间里先后更名为 Moltbot 和 OpenClaw,是一款病毒式传播的开源人工智能助手,设计用于本地运行,具有持久内存,并可与各种资源(聊天、电子邮件、本地文件系统)集成。如果配置不当,该助手会带来安全风险。

技能是OpenClaw 的可部署插件,可以扩展其功能或为特定活动提供具体说明。

然而,安全研究员 Jamieson O’Reilly最近指出 ,公共网络上暴露了数百个配置错误的 OpenClaw 管理界面。

1 月 27 日至 2 月 1 日期间,两组共计超过 230 个恶意技能被发布到 ClawHub(该助手的官方注册表)和 GitHub 上。

这些技术可以伪装成合法的实用程序,例如加密货币交易自动化、金融实用程序以及社交媒体或内容服务,但在后台,它们会将窃取信息的恶意软件有效载荷注入到用户的系统中。

来自社区安全门户网站 OpenSourceMalware 的一份报告称,一场正在进行的大规模活动正在利用各种技术向 OpenClaw 用户传播窃取信息的恶意软件。

其中大多数是名称随机的近乎完全相同的克隆版本,而有些版本已经流行起来,下载量达数千次。

每个恶意技能都包含大量文档,以显得合法,其中包括多次突出显示一个名为“AuthTool”的独立工具,该工具据称是技能正确运行的关键要求。

当受害者按照文档中的说明操作时,就会发生感染,类似于 ClickFix 类型的攻击。

但实际上,AuthTool 是一种恶意软件传播工具。在 macOS 系统上,它表现为一个经过 base64 编码的 shell 命令,用于从外部地址下载有效载荷。在 Windows 系统上,它会下载并运行一个受密码保护的 ZIP 压缩包。

投放到 macOS 系统上的恶意软件被确认为 NovaStealer 的一个变种,它可以通过使用“ xattr -c ”命令来绕过 Gatekeeper,从而移除隔离属性并请求广泛的文件系统读取访问权限以及与系统服务的通信。

该窃取程序的目标是加密货币交易所 API 密钥、钱包文件和助记词、浏览器钱包扩展程序、macOS 钥匙串数据、浏览器密码、SSH 密钥、云凭证、Git 凭证和“.env”文件。

Koi Security 的另一份报告统计,分析师扫描了 ClawHub 的整个 2,857 个恶意技能库后,发现其中有 341 个恶意技能,并将它们归因于一次攻击活动。

除了 OpenSourceMalware 报告中重点提到的工具外,Koi 还发现了 29 个针对 ClawHub 名称的拼写错误域名,这些域名针对的是常见的拼写错误。

为了帮助用户保持安全,Koi Security 还发布了一款免费的在线扫描器,用户可以粘贴技能的 URL 来获取安全报告。

OpenClaw 的创建者 Peter Steinberger 在 X 上回应了 OpenSourceMalware 的提问,承认目前无法审查平台收到的大量技能提交,因此用户有责任在部署之前仔细检查其技能的安全性。

用户应注意 OpenClaw 对系统的深度访问权限。建议采用多层安全策略,包括将 AI 助手隔离在虚拟机中,限制其权限,并保护对其的远程访问(例如,限制端口、阻止流量)。

信息来源:BleepingComputer

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:犀牛安全 Rhinoer Rhinoer《黑客利用恶意 MoltBot 技术推送窃取密码的恶意软件》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0