爆紅AI代理ClawdBot出現惡意延伸套件，駭客以此散布竊資軟體NovaStealer、Atomic Stealer

現已改名為OpenClaw的開源AI代理專案Clawdbot（一度更名為Moltbot），1月底正式發表後迅速竄紅，吸引大量開發人員爭相採用，這樣的態勢也引起駭客注意，針對其使用者散布惡意軟體。

資安社群平臺Open Source Malware提出警告，他們發現有人自1月27日開始於GitHub和OpenClaw延伸套件市集ClawHub，發布惡意技能套件（Skills），鎖定OpenClaw與Claude Code的用戶，目的是在Windows與macOS系統部署竊資軟體。這些技能套件聲稱提供加密貨幣自動化交易的功能，一旦使用者安裝，駭客便透過ClickFix網釣手法，誘使使用者執行惡意指令，從而竊取加密貨幣交易所的API金鑰、錢包私鑰、SSH憑證，以及瀏覽器存放的帳密資料，然後洗劫受害者的加密貨幣資產。

這起攻擊大致可分成兩波，第一波發生在1月27日至29日，當時駭客上架28個技能套件；第二波發生在1月31日至2月2日，且規模明顯擴大，這次Open Source Malware發現多達386個惡意套件。研究人員強調，由於ClawHub似乎並未對上架的技能套件進行資安掃描，他們看到許多惡意套件的有效酬載，竟是在套件的說明檔案SKILL.md的第一段出現。他們根據在NPM、PyPI，以及GitHub搜尋惡意套件的做法，結果很快就在ClawHub找到有問題的套件。

假若是Windows用戶，駭客便會要求他們下載名為AuthTool.zip的壓縮檔，並執行當中的AuthTool.exe，再啟動技能套件，聲稱這麼做才能使套件正確執行；若為macOS用戶，駭客要求他們開啟終端機，執行經Base64處理的惡意命令。一旦使用者照做，他們的電腦就可能被植入竊資軟體NovaStealer變種。

此惡意程式能竊取加密貨幣錢包檔案、加密貨幣交易所API金鑰、存取錢包的通關密語（Seed Phrases）、瀏覽器帳密、SSH 私鑰、雲端憑證、macOS鑰匙圈（Keychain），以及開發環境的組態，例如Git憑證、環境配置檔案（ENV檔）、API權杖（Token）與密鑰，以及私有儲存庫等。

資安公司Koi Security也發現相關攻擊活動，他們對ClawHub市集的2,857個技能套件展開調查，結果找到341個有問題的套件，其中335個使用幾乎相同的手段，在受害者電腦植入木馬，該公司將這波攻擊命名為ClawHavoc。

根據駭客聲稱的功能區分，加密貨幣工具最多，有111個；YouTube工具、金融與社交工具居次，分別有57個和51個；再者，還有去中心化市場預測平臺Polymarket機器人、軟體自動更新工具，以及Google Workspace整合工具，分別為34個、28個，以及17個。

對於最終於受害電腦植入的惡意程式，Koi Security指出有許多是macOS竊資軟體Atomic Stealer（AMOS），但也有部分會植入反向Shell充當後門程式，或是直接針對OpenClaw的機器人組態設定資料挖掘憑證。

駭客打著Clawdbot的名號散布惡意軟體的情況，已有先例，資安公司Aikido發現，有人在Visual Studio Code延伸套件市集上架有問題的套件，號稱藉由Clawdbot能協助開發人員編寫程式碼，然而若是使用者下載安裝，駭客就會植入遠端管理工具ConnectWise ScreenConnect，以便操控受害電腦。