Ψεύτικοι εγκαταστάτες OpenClaw που φιλοξενούνται σε αποθετήρια GitHub και προωθούνται από τη δυνατότητα αναζήτησης βελτιωμένης με τεχνητή νοημοσύνη του Microsoft Bing, καθοδηγούν τους χρήστες να εκτελούν εντολές που αναπτύσσουν προγράμματα κλοπής πληροφοριών και κακόβουλο λογισμικό μεσολάβησης.
Το OpenClaw είναι ένας πράκτορας AI ανοιχτού κώδικα που κέρδισε δημοτικότητα ως προσωπικός βοηθός ικανός να εκτελεί εργασίες. Έχει πρόσβαση σε τοπικά αρχεία και μπορεί να ενσωματωθεί με email, εφαρμογές ανταλλαγής μηνυμάτων και διαδικτυακές υπηρεσίες.
Λόγω της εκτεταμένης τοπικής πρόσβασής του, οι φορείς απειλών είδαν την ευκαιρία να συλλέξουν ευαίσθητες πληροφορίες δημοσιεύοντας κακόβουλες δεξιότητες (αρχεία οδηγιών) στο επίσημο μητρώο του εργαλείου και στο GitHub.
Ερευνητές της εταιρείας διαχειριζόμενης ανίχνευσης και απόκρισης Huntress ανακάλυψαν μια νέα καμπάνια τον περασμένο μήνα που διέδιδε πολλαπλά εκτελέσιμα για φορτωτές κακόβουλου λογισμικού και infostealers σε χρήστες που θέλουν να εγκαταστήσουν το OpenClaw.
Σύμφωνα με τους ερευνητές, ο παράγοντας απειλών δημιούργησε κακόβουλα αποθετήρια GitHub που παρουσιάζονται ως εγκαταστάτες OpenClaw, τα οποία προτάθηκαν από την Bing στα αποτελέσματα αναζήτησης που υποστηρίζονται από AI για την έκδοση του εργαλείου για Windows.
Πηγή: Huntress
Ο προτεινόμενος σύνδεσμος λήψης του Bing AI στην παραπάνω εικόνα παραπέμπει σε ένα κακόβουλο πρόγραμμα εγκατάστασης OpenClaw στο GitHub, είπαν οι ερευνητές του Huntress σε μια αναφορά.
Οι ερευνητές λένε ότι «απλώς η φιλοξενία του κακόβουλου λογισμικού στο GitHub ήταν αρκετή για να δηλητηριάσει τα αποτελέσματα αναζήτησης του Bing AI».
Ένα ψεύτικο αποθετήριο OpenClaw που ανέλυσε η Huntress φάνηκε θεμιτό με μια γρήγορη ματιά, καθώς ο ηθοποιός απειλών το έδεσε με έναν οργανισμό GitHub με το όνομα openclaw-installer. Αυτό μπορεί επίσης να είχε κάποιο βάρος στη σύσταση AI του Bing.
Οι λογαριασμοί GitHub που δημοσιεύουν αυτά τα αποθετήρια δημιουργήθηκαν πρόσφατα, αλλά προσπάθησαν να αυξήσουν τη νομιμότητά τους αντιγράφοντας πραγματικό κώδικα από το Cloudflare moltworker σχέδιο.
Πηγή: Huntress
Ωστόσο, το αποθετήριο παρείχε έναν οδηγό εγκατάστασης για το OpenClaw στο macOS, δίνοντας οδηγίες στον χρήστη να επικολλήσει μια εντολή bash στο Terminal. Αυτό θα φτάσει σε έναν ξεχωριστό οργανισμό GitHub που ονομάζεται κουκλοπαίκτης και ένα αποθετήριο με το όνομα dmg.
“Το αποθετήριο περιείχε έναν αριθμό αρχείων που ακολουθούσαν ένα θέμα που περιείχε ένα σενάριο φλοιού σε συνδυασμό με ένα εκτελέσιμο Mach-O,” το οποίο ο Huntress αναγνώρισε ως το κακόβουλο λογισμικό Atomic Stealer.
Πηγή: Huntress
Για τους χρήστες των Windows, ο παράγοντας απειλών χρησιμοποίησε τα ψεύτικα αποθετήρια για να παραδώσει το OpenClaw_x64.exe, το οποίο ανέπτυξε πολλαπλά κακόβουλα εκτελέσιμα αρχεία. Η Huntress λέει ότι οι λύσεις Windows Managed AV και Managed Defender for Endpoint έθεσαν σε καραντίνα τα αρχεία στον υπολογιστή του πελάτη που ανέλυσαν.
Τα περισσότερα από τα εκτελέσιμα ήταν φορτωτές κακόβουλου λογισμικού βασισμένοι στο Rust που εκτελούσαν προγράμματα κλοπής πληροφοριών στη μνήμη, είπαν οι ερευνητές, προσθέτοντας ότι ένα από τα ωφέλιμα φορτία ήταν το Vidar stealer που επικοινώνησε με τα προφίλ χρηστών του Telegram και του Steam για να λάβει δεδομένα εντολής και ελέγχου (C2).
Ένα άλλο εκτελέσιμο Windows που παραδόθηκε με αυτόν τον τρόπο ήταν το κακόβουλο λογισμικό διακομιστή μεσολάβησης backconnect GhostSocks, σχεδιασμένο να μετατρέπει τις μηχανές των χρηστών σε κόμβο μεσολάβησης.
Ένας εισβολέας μπορεί να χρησιμοποιήσει το σύστημα για να αποκτήσει πρόσβαση σε λογαριασμούς με διαπιστευτήρια που έχουν κλαπεί από το μηχάνημα, παρακάμπτοντας έτσι τους ελέγχους κατά της απάτης. Οι φορείς απειλών χρησιμοποιούν επίσης κόμβους μεσολάβησης για να δρομολογήσουν κακόβουλη κυκλοφορία ή για να κρύψουν τα ίχνη τους σε επιθέσεις.
Κατά την έρευνα, η Huntress εντόπισε πολλούς λογαριασμούς και αποθετήρια που χρησιμοποιούνται στην ίδια καμπάνια, τα οποία παρείχαν κακόβουλο λογισμικό σε χρήστες που αναζητούσαν προγράμματα εγκατάστασης OpenClaw.
Όλα τα κακόβουλα αποθετήρια έχουν αναφερθεί στο GitHub, αν και δεν είναι σαφές εάν έχουν αφαιρεθεί μέχρι τώρα.
Το επίσημο αποθετήριο OpenClaw στο GitHub είναι εδώ. Συνιστάται να προσθέτετε σελιδοδείκτες στις επίσημες πύλες του λογισμικού που χρησιμοποιείτε αντί να κάνετε αναζήτηση στο διαδίκτυο κάθε φορά.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
