ClawHavoc攻击活动在2026年2月爆发,是对ClawHub平台最大规模的供应链攻击。Koi Security团队在对2,857个技能进行安全审计时发现341个恶意技能中,有335个属于ClawHavoc攻击活动。
攻击者采用了高度伪装的社会工程学策略下发多平台载荷,发布看似合法的技能如solana-wallet-tracker、youtube-summarize-pro等,通过详细的README文档与用户建立可信度,在README文档的“前置条件”部分,以安装依赖为名,要求用户执行恶意的安装命令,下载信息窃取木马。
ClawHavoc攻击活动的一个显著特点是其伪装策略的多样性和针对性:
1. 加密货币用户:111个恶意技能伪装成Solana钱包工具、Phantom钱包工具、钱包追踪器等;
2. 预测市场用户:34个恶意技能以polymarket-trader、polymarket-pro等名称出现;
3. YouTube内容创作者:57个恶意技能伪装成youtube-summarize、youtube-thumbnail-grabber、youtube-video-downloader等工具;
4. 开发者群体:28个恶意技能伪装成自动更新工具;
5. 普通用户:51个恶意技能伪装成金融与社交工具、17个伪装成Google Workspace集成工具、15个伪装成Ethereum Gas追踪器、3个伪装成比特币找回工具。
攻击的技术执行路径体现了对目标用户群体的精准理解:
Windows系统攻击链:
1. 要求用户从GitHub仓库下载名为“openclaw-agent.zip”的加密压缩包;
2. 密码设置为“openclaw”以绕过自动化杀毒扫描;
3. 压缩包内包含带有键盘记录功能的木马程序;
4. 可捕获机器上的API密钥、凭证以及AI助手已获取的所有敏感数据。
macOS系统攻击链:
1. 诱导用户复制glot.io托管的安装脚本并粘贴到终端执行;
2. 脚本包含混淆的shell命令,会从攻击者控制的基础设施获取后续载荷;
3. 联系IP地址91.92.242.30获取通用Mach-O二进制文件;
4. 该文件符合Atomic macOS Stealer(AMOS)的特征。
ClawHavoc攻击活动背后的威胁行为者展现出了高度的组织化和自动化特征:
1. 域名抢注:29个技能使用clawhub、clawhub1、clawhubb等仿冒名称;
2. 虚假系统提示:在技能安装时通过显示虚假“苹果软件更新”提示,静默建立加密隧道;
3. 时间延迟攻击:恶意代码在安装后数小时或数天后才激活;
4. 批量生成:使用自动化工具和脚本批量生成、上传和命名恶意技能;
5. 账号农场:注册大量GitHub账号,每个账号使用时长超过一周以满足平台要求;
6. 快速扩散:单个上传者发布677个恶意包,此规模攻击模式在传统的开源软件供应链攻击中极为罕见;
7. 恶意.md技能文件:技能可以包含UI不可见的Mermaid markdown恶意指令,由于本地扫描器不扫描该类型文件,实现安全检测绕过;
8. 碎片化攻击载荷:将恶意代码分散在多个文件中,只有在特定条件下才会组合执行;
9. 环境感知攻击:恶意技能能够检测运行环境(开发/生产、操作系统类型等)并调整攻击行为。
ClawHub上的恶意Skills攻击载荷呈现多样化演进趋势:
1. 外部恶意软件分发:技能安装指令包含恶意软件下载链接,常使用加密压缩包绕过安全检测;
2. 混淆数据外溢:通过base64、Unicode混淆命令,窃取用户凭证并发送至攻击者服务器;
3. 安全禁用与破坏性操作:诱导Agent关闭安全机制、修改系统配置或删除关键文件。
为应对供应链风险,OpenClaw已与 VirusTotal 合作,对新上传的技能进行恶意代码扫描与 LLM 内容语义分析,并对技能包进行基础结构审查。
ClawHub局限性体现在以下三方面:
一是 ClawHub 作为公开注册的软件市场,缺乏足够人力开展逐包人工审核,自动化检测又难以覆盖所有恶意变种;
二是恶意行为者可通过持续迭代规避手段,绕过平台检测能力;
三是事后管控缺失。即使恶意技能被发现后从 ClawHub 下架,已安装该技能的用户设备仍会保留并运行恶意程序,难以实现批量清除。
粤ICP备14082021号
免费POC,
零成本试错
