Una auditoría de seguridad de 2.857 habilidades en ClawHub encontró 341 habilidades maliciosas en múltiples campañas, según nuevos hallazgos de Koi Security, lo que expone a los usuarios a nuevos riesgos en la cadena de suministro.
ClawHub es un mercado diseñado para facilitar a los usuarios de OpenClaw la búsqueda e instalación de habilidades de terceros. Es una extensión del proyecto OpenClaw, un asistente de inteligencia artificial (IA) autohospedado anteriormente conocido como Clawdbot y Moltbot.
El análisis, que Koi realizó con la ayuda de un bot de OpenClaw llamado Alex, encontró que 335 habilidades utilizan requisitos previos falsos para instalar un ladrón de Apple macOS llamado Atomic Stealer (AMOS). Este conjunto ha sido nombrado en código. GarraHavoc.
«Instalas lo que parece una habilidad legítima, tal vez solana-wallet-tracker o youtube-summarize-pro», dijo el investigador de Koi Oren Yomtov. «La documentación de la habilidad parece profesional. Pero hay una sección de ‘Requisitos previos’ que dice que primero debes instalar algo».
Este paso incluye instrucciones para sistemas Windows y macOS: en Windows, se solicita a los usuarios que descarguen un archivo llamado «openclaw-agent.zip» desde un repositorio de GitHub. En macOS, la documentación les indica que copie un script de instalación alojado en glot(.)io y lo pegue en la aplicación Terminal. El objetivo de macOS no es una coincidencia, ya que han surgido informes de personas que compran Mac Minis para ejecutar el asistente de IA las 24 horas del día, los 7 días de la semana.
Dentro del archivo protegido con contraseña hay un troyano con funcionalidad de registro de teclas para capturar claves API, credenciales y otros datos confidenciales en la máquina, incluidos aquellos a los que el bot ya tiene acceso. Por otro lado, el script glot(.)io contiene comandos de shell ofuscados para recuperar cargas útiles de la siguiente etapa desde una infraestructura controlada por el atacante.
Esto, a su vez, implica comunicarse con otra dirección IP («91.92.242(.)30») para recuperar otro script de shell, que está configurado para contactar al mismo servidor para obtener un binario Mach-O universal que exhibe características consistentes con Atomic Stealer, un ladrón de productos disponible por $500-1000/mes que puede recolectar datos de hosts macOS.
Según Koi, las habilidades maliciosas se hacen pasar por
- Typosquats de ClawHub (p. ej., clawhub, clawhub1, clawhubb, clawhubcli, clawwhub, cllawhub)
- Herramientas de criptomonedas como billeteras Solana y rastreadores de billeteras
- Bots de Polymarket (por ejemplo, Polymarket-Trader, Polymarket-Pro, PolyTrading)
- Utilidades de YouTube (p. ej., youtube-summarize, youtube-thumbnail-grabber, youtube-video-downloader)
- Actualizadores automáticos (p. ej., agente de actualización automática, actualización, actualizador)
- Herramientas de finanzas y redes sociales (p. ej., yahoo-finance-pro, x-trends-tracker)
- Herramientas de Google Workspace que afirman tener integraciones con Gmail, Calendar, Sheets y Drive
- Rastreadores de gas Ethereum
- Buscadores de Bitcoin perdidos
Además, la compañía de ciberseguridad dijo que identificó habilidades que ocultan puertas traseras de shell invertidas dentro del código funcional (por ejemplo, Better-polymarket y Polymarket-all-in-one), o filtran las credenciales del bot presentes en «~/.clawdbot/.env» a un sitio webhook(.) (por ejemplo, rankingaj).
El desarrollo coincide con un informe de OpenSourceMalware, que también señaló la misma campaña ClawHavoc dirigida a los usuarios de OpenClaw.
«Las habilidades se hacen pasar por herramientas de automatización del comercio de criptomonedas y entregan malware para robar información a los sistemas macOS y Windows», dijo un investigador de seguridad que utiliza el alias en línea 6mile.
«Todas estas habilidades comparten la misma infraestructura de comando y control (91.92.242(.)30) y utilizan ingeniería social sofisticada para convencer a los usuarios de ejecutar comandos maliciosos, que luego roban activos criptográficos como claves API de intercambio, claves privadas de billetera, credenciales SSH y contraseñas del navegador».
OpenClaw agrega una opción de informes
El problema surge del hecho de que ClawHub está abierto de forma predeterminada y permite que cualquiera cargue habilidades. La única restricción en esta etapa es que un editor debe tener una cuenta de GitHub que tenga al menos una semana de antigüedad.
El problema con las habilidades maliciosas no pasó desapercibido para el creador de OpenClaw, Peter Steinberger, quien desde entonces lanzó una función de informes que permite a los usuarios registrados marcar una habilidad. «Cada usuario puede tener hasta 20 informes activos a la vez», afirma la documentación. «Las habilidades con más de 3 informes únicos se ocultan automáticamente de forma predeterminada».
Los hallazgos subrayan cómo los actores de amenazas continúan abusando de los ecosistemas de código abierto, quienes ahora se aprovechan de la repentina popularidad de OpenClaw para orquestar campañas maliciosas y distribuir malware a escala.
En un informe de la semana pasada, Palo Alto Networks advirtió que OpenClaw representa lo que el programador británico Simon Willison, quien acuñó el término inyección rápida, describe como una «trifecta letal» que hace que los agentes de IA sean vulnerables por diseño debido a su acceso a datos privados, exposición a contenido no confiable y la capacidad de comunicarse externamente.
La intersección de estas tres capacidades, combinada con la memoria persistente de OpenClaw, «actúa como un acelerador» y amplifica los riesgos, añadió la empresa de ciberseguridad.
«Con la memoria persistente, los ataques ya no son sólo ataques puntuales. Se convierten en ataques con estado y de ejecución retrasada», dijeron los investigadores Sailesh Mishra y Sean P. Morgan. «Las cargas útiles maliciosas ya no necesitan activar la ejecución inmediata en el momento de la entrega. En cambio, pueden ser entradas fragmentadas y no confiables que parecen benignas de forma aislada, se escriben en la memoria del agente a largo plazo y luego se ensamblan en un conjunto de instrucciones ejecutables».
«Esto permite la inyección rápida en diferido, el envenenamiento de la memoria y la activación estilo bomba lógica, donde el exploit se crea en el momento de la ingestión pero detona sólo cuando el estado interno, los objetivos o la disponibilidad de la herramienta del agente se alinean».