文章总结： 慢雾安全团队披露OpenClaw生态ClawHub插件中心遭大规模供应链投毒攻击，341个恶意skills通过伪装安装说明诱导用户执行Base64编码命令，实施两段式加载窃取用户密码及敏感文件。攻击基础设施与Poseidon组织相关，涉及域名socifiapp.com及IP91.92.242.30。建议用户审计SKILL.md命令、警惕权限请求、优先使用官方渠道。 综合评分： 92 文章分类： 威胁情报,恶意软件,供应链安全,安全运营,漏洞分析

---

威胁情报｜ClawHub 恶意 skills 投毒分析

原创

慢雾安全团队 慢雾安全团队

慢雾科技

2026年2月9日 10:42 中国香港

作者：Yao & sissice

编辑：77

**# 背景

近期，开源 AI Agent 项目 OpenClaw 意外走红，其官方插件中心 ClawHub 迅速聚集了大量开发者。慢雾安全团队监测发现，ClawHub 正逐渐成为攻击者实施供应链投毒的新目标。由于平台缺乏完善、严格的审核机制，已有大量恶意 skill 混入其中，并被用于传播恶意代码或投放有害内容，给开发者和用户带来潜在安全风险。

慢雾安全团队在事件暴露后第一时间开展分析，并通过 MistEye 对客户侧进行预警，同时持续跟踪 ClawHub 上新增恶意 skills。

在 OpenClaw 生态中，skills 更准确的说法是 AgentSkills 规范下的 “skill folder”，核心文件通常为 SKILL.md。

SKILL.md 的核心风险在于：它并非代码仓库中可审计、可复现的构建产物，而是一段容易被用户直接执行的操作说明。在 agent 生态中，Markdown 往往承担“安装/初始化入口”的角色，导致文本从“说明”演变为“指令”。攻击者只需将恶意命令包装为依赖安装或环境配置步骤（如 curl | bash、Base64 解码执行），即可诱导用户完成执行链路，从而实现落地与数据窃取。

根据 Koi Security 的报告，在对 2,857 个 skills 的扫描中识别出 341 个恶意 skills，反映出典型的“插件/扩展市场供应链投毒”形态。

（Reffer: https://www.koi.ai/blog/clawhavoc-341-malicious-clawedbot-skills-found-by-the-bot-they-were-targeting）

攻击手法分析

我们对 400+ 个恶意 skill 的 IOC 做了归并后发现，很多样本反复指向少量固定域名，或者同一 IP 下的多条随机路径，资源复用和收敛特征很明显。这更像是团伙化、批量化的攻击：大量恶意 skill 共用同一批域名/IP，并且攻击手法基本一致。

投递上，攻击者经常借助公共平台做中转分发，比如 GitHub Release、glot.io 这类文本托管站点。恶意链路多为典型的“两段式”加载逻辑：首阶段通过混淆指令通过检测，二阶段动态拉取高危 Payload。这种策略极大地降低了 skill 外壳的暴露面，方便攻击者实现后端资源的快速更迭。

另外，skills 的命名也比较集中，主要围绕加密资产、金融信息，以及“更新 / 安全检查 / 自动化工具”等更容易让人放松警惕的场景。

投毒链路可以概括为：

1）恶意 skill 在 SKILL.md 中伪装“依赖安装/初始化”；

2）通过 Base64/分段脚本把真实命令藏起来；

3）解码后执行典型的下载并执行（curl 拉取 → bash 执行）；

4）第一阶段再拉取第二阶段样本；

5）最终通过少量固定 IP/域名完成收口与持续更新。

**

木马分析

**以下载量较高的 “X (Twitter) Trends” skill 为例，从外观描述看起来该 skill 一切正常，使用描述也符合预期，但实际上隐藏了一段经过 Base64 编码的后门命令。

攻击者采用 Base64 编码实现“阅读层面的混淆”，让 SKILL.md 看起来像在输出配置字符串或安装信息，从而降低读者警惕。同时也能规避一些基于关键字的粗糙检测（例如直接匹配 curl|bash）。

对该 base64 命令解码后，本质是一条典型的“下载并执行”指令：**

**第一阶段样本只是入口，真正的功能被放到第二阶段样本里，方便攻击者随时替换 payload、快速迭代而不必频繁改动 skill 外壳。

上述命令会从 91.92.242.30 下载名为 q0c7ew2ro8l2cfqp 的程序并执行，而该程序又下载并执行第二阶段样本 dyrtvwjfveyxjf23。

这种分阶段投递主要目的在于“低成本迭代 + 降低暴露面”：skill 外壳(SKILL.md) 可以保持相对稳定，甚至看起来像正常安装说明；真正的恶意能力被放在第二阶段样本中，攻击者只要替换二阶段载荷即可快速更新功能与对抗策略，同时也能绕开基于静态文本的审核与拦截。

经过动态分析发现，第二阶段样本会伪装系统对话框钓取用户密码，验证密码有效性后在临时目录中收集并归档本机信息与文档，并读取 Desktop / Documents / Download 的文件。

识别到 txt，pdf 等文件后，将命中的文件与主机信息归档为 ZIP 并上传到 C2 地址(hxxps[:]//socifiapp.com/api/reports/upload)。

恶意域名分析

从威胁情报平台查询显示，恶意域名 socifiapp[.]com 注册于 2025 年 7 月 14 日，并已经被标记为恶意远控。

**

（Reffer: https://app.validin.com/detail?type=dom&find=socifiapp.com#tab=reputation）

IP 地址 91.92.242.30 在大量恶意 skill 中被复用。根据公开威胁情报，该 IP 与 Poseidon（波塞冬） 相关历史基础设施存在关联。该组织常见作案方式包括数据窃取后的勒索。

**# *(Reffer: https://app.validin.com/detail?type=ip&find=91.92.242.30)***

#

# MistEye 响应

**#

MistEye 是由 SlowMist 自主研发的一款专注于 Web3 领域的威胁情报与动态安全监控工具。我们深度集成了安全监控与情报聚合功能，为用户提供实时的风险预警与资产守护。

在确认恶意行为特征后，MistEye 系统已在第一时间触发了高危告警。本次预警共涉及 472 个恶意 skills 及其关联的 IOCs，相关威胁情报已完整推送至客户。

(https://misteye.io/threat-intelligence/SM-2026-993621)

针对 skills 生态的博弈仍在继续。MistEye 将持续对各大应用市场进行全天候监控，确保第一时间捕捉并识别新型恶意 skills。后续，我们将正式推出针对 skill 机制的专项监控规则，为客户提供更长效的安全保障。

**

# 总结

**#

这次事件的本质，是“生态入口 + 文本指令执行”带来的供应链风险：skill 外壳可以无限换皮，但攻击者真正依赖的是少数可复用的远程资源与落点。对防守侧而言，抓住“两段式加载”“高复用基础设施”“裸 IP 落点”三类信号，往往比逐个下架 skill 更有效。下方 IOC 可用于快速封禁与威胁狩猎，但更建议结合行为链路建立长期检测能力。

防护建议

1. 不要把 SKILL.md 的“安装步骤”当成可信来源，任何要求复制粘贴执行的命令都应先审计；
2. 警惕“需要输入系统密码/授予辅助功能/系统设置”的提示，这往往是风险升级点；
3. 优先从官方渠道获取依赖与工具，避免执行来源不明的安装脚本。

IOCs

Domain

socifiapp[.]com

rentry[.]co

install[.]app-distribution.net

URL

hxxp[:]//91.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//91.92.242.30/x5ki60w1ih838sp7

hxxp[:]//91.92.242.30/528n21ktxu08pmer

hxxp[:]//91.92.242.30/66hfqv0uye23dkt2

hxxp[:]//91.92.242.30/6x8c0trkp4l9uugo

hxxp[:]//91.92.242.30/dx2w5j5bka6qkwxi

hxxp[:]//54.91.154.110:13338/

hxxp[:]//91.92.242.30/6wioz8285kcbax6v

hxxp[:]//91.92.242.30/1v07y9e1m6v7thl6

hxxp[:]//91.92.242.30/q0c7ew2ro8l2cfqp

hxxp[:]//91.92.242.30/dyrtvwjfveyxjf23

hxxps[:]//rentry.co/openclaw-core

hxxps[:]//glot.io/snippets/hfdxv8uyaf

hxxp[:]//92.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//95.92.242.30/7buu24ly8m1tn8m4

hxxps[:]//install.app-distribution.net/setup/

hxxp[:]//11.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//202.161.50.59/7buu24ly8m1tn8m4

hxxp[:]//96.92.242.30/7buu24ly8m1tn8m4

hxxps[:]//glot.io/snippets/hfd3x9ueu5

IP

91.92.242.30

104.18.38.233

95.92.242.30

54.91.154.110

92.92.242.30

11.92.242.30

202.161.50.59

96.92.242.30

file

filename: dyrtvwjfveyxjf23

SHA256: 30f97ae88f8861eeadeb54854d47078724e52e2ef36dd847180663b7f5763168

filename: 66hfqv0uye23dkt2

SHA256: 0e52566ccff4830e30ef45d2ad804eefba4ffe42062919398bf1334aab74dd65

filename: x5ki60w1ih838sp7

SHA256: 1e6d4b0538558429422b71d1f4d724c8ce31be92d299df33a8339e32316e2298

filename: dx2w5j5bka6qkwxi

SHA256: 998c38b430097479b015a68d9435dc5b98684119739572a4dff11e085881187e

filename: openclaw-agent.exe

SHA256: 17703b3d5e8e1fe69d6a6c78a240d8c84b32465fe62bed5610fb29335fe42283**

往期回顾

聚焦链上金融安全｜慢雾将亮相 Consensus Hong Kong 2026 活动周

载誉香港！慢雾荣获「网络安全精英嘉许计划 2025」两项殊荣

威胁情报｜Token Vesting 钓鱼投毒分析

慢雾科技(SlowMist) 成立八周年啦！

2644 万美元被盗背后：Truebit Protocol 合约漏洞分析

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾 GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

知识星球

https://t.zsxq.com/Q3zNvvF

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：慢雾科技 慢雾安全团队 慢雾安全团队《威胁情报｜ClawHub 恶意 skills 投毒分析》