Incidentes Asociados
Una auditoría de seguridad de 2857 habilidades en ClawHub ha detectado 341 habilidades maliciosas en múltiples campañas, según nuevos hallazgos de Koi Security, lo que expone a los usuarios a nuevos riesgos en la cadena de suministro.
ClawHub es una plataforma diseñada para facilitar a los usuarios de OpenClaw la búsqueda e instalación de habilidades de terceros. Se trata de una extensión del proyecto OpenClaw, un asistente de inteligencia artificial (IA) autoalojado, anteriormente conocido como Clawdbot y Moltbot.
El análisis, realizado por Koi con la ayuda de un bot de OpenClaw llamado Alex, reveló que 335 habilidades utilizan requisitos previos falsos para instalar un programa malicioso para macOS llamado Atomic Stealer (AMOS). Este conjunto de actividades ha sido denominado ClawHavoc.
"Se instala lo que parece una habilidad legítima, como solana-wallet-tracker o youtube-summarize-pro", explicó Oren Yomtov, investigador de Koi. "La documentación de la habilidad parece profesional. Pero hay una sección de 'Requisitos previos' que indica que primero se debe instalar algo".
Este paso incluye instrucciones para sistemas Windows y macOS: en Windows, se solicita a los usuarios que descarguen un archivo llamado "openclaw-agent.zip" de un repositorio de GitHub. En macOS, la documentación indica que se copie un script de instalación alojado en glot[.]io y se pegue en la aplicación Terminal. El hecho de que macOS sea el objetivo no es casual, ya que han surgido informes de personas que compran Mac Minis para ejecutar el asistente de IA las 24 horas del día, los 7 días de la semana.
Dentro del archivo protegido con contraseña se encuentra un troyano con función de registro de pulsaciones de teclas para capturar claves API, credenciales y otros datos confidenciales del equipo, incluidos aquellos a los que el bot ya tiene acceso. Por otro lado, el script de glot[.]io contiene comandos de shell ofuscados para obtener cargas útiles de la siguiente fase desde una infraestructura controlada por el atacante.
Esto, a su vez, implica conectarse a otra dirección IP ("91.92.242[.]30") para obtener otro script de shell, configurado para contactar con el mismo servidor y obtener un binario Mach-O universal con características similares a las de Atomic Stealer, un programa malicioso disponible por entre 500 y 1000 dólares al mes que puede extraer datos de sistemas macOS.
Según Koi, las habilidades maliciosas se hacen pasar por:
- Errores tipográficos en ClawHub (p. ej., clawhub, clawhub1, clawhubb, clawhubcli, clawwhub, cllawhub)
- Herramientas de criptomonedas como billeteras Solana y rastreadores de billeteras
- Bots de Polymarket (p. ej., polymarket-trader, polymarket-pro, polytrading)
- Utilidades de YouTube (p. ej., youtube-summarize, youtube-thumbnail-grabber, youtube-video-downloader)
- Actualizadores automáticos (p. ej., auto-updater-agent, update, updater)
- Herramientas de finanzas y redes sociales (p. ej., yahoo-finance-pro, x-trends-tracker)
- Herramientas de Google Workspace que afirman integrarse con Gmail, Calendar, Sheets y Drive
- Rastreadores de gas de Ethereum
- Buscadores de Bitcoin perdidos
Además, la empresa de ciberseguridad afirmó haber identificado habilidades que se ocultan Puertas traseras de shell inversa dentro del código funcional (por ejemplo, better-polymarket y polymarket-all-in-one), o la extracción de credenciales de bot presentes en "~/.clawdbot/.env" a un sitio webhook[.]site (por ejemplo, rankaj).
[
] (https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdUIlSL9qpCVbfy1TNUn-HizuE9n6MdFG5YHsHFM9xPa-VGEUo9aaIOAYFIngxa3eySnljrSlNEswxcdWoqbVIa1r2QMMl6PKzfprbnsb-8Gr4wIa-CElQxwA-lufP6EutwkSLX5Zh-C-3-KiLa61nzkZF1nIw3_CVdEQ290WxL7gAXniTyHy2c5irJ_be/s1700-e365/skill-malware-2.png)
El Este desarrollo coincide con un informe de OpenSourceMalware, que también alertó sobre la misma campaña de ClawHavoc dirigida a usuarios de OpenClaw.
«Estas herramientas se hacen pasar por sistemas de automatización de operaciones con criptomonedas e instalan malware que roba información en sistemas macOS y Windows», declaró el investigador de seguridad Paul McCarty, conocido como 6mile (https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto).
«Todas estas herramientas comparten la misma infraestructura de comando y control (91.92.242[.]30) y utilizan técnicas sofisticadas de ingeniería social para convencer a los usuarios de ejecutar comandos maliciosos, que luego roban criptoactivos como claves API de exchanges, claves privadas de monederos, credenciales SSH y contraseñas de navegador».
OpenClaw añade una opción de denuncia [https://thehackernews.com/2026/02/researchers-find-341-malicious-clawhub.html#openclaw-adds-a-reporting-option]
El problema radica en que ClawHub es de código abierto por defecto y permite que cualquiera suba habilidades. La única restricción actual es que el creador debe tener una cuenta de GitHub con al menos una semana de antigüedad.
El problema con las habilidades maliciosas no ha pasado desapercibido para Peter Steinberger, creador de OpenClaw, quien ha implementado una función de denuncia que permite a los usuarios registrados reportar una habilidad. «Cada usuario puede tener hasta 20 informes activos simultáneamente», indica la documentación (https://docs.openclaw.ai/tools/clawhub#security-and-moderation). «Las habilidades con más de 3 informes únicos se ocultan automáticamente por defecto».
Estos hallazgos ponen de manifiesto cómo los ciberdelincuentes siguen abusando de los ecosistemas de código abierto, aprovechando la repentina popularidad de OpenClaw para orquestar campañas maliciosas y distribuir malware a gran escala.
En un informe publicado la semana pasada, Palo Alto Networks advirtió que OpenClaw representa lo que el programador británico Simon Willison, quien acuñó el término «inyección de aviso», describe como una «triple combinación letal» que hace que los agentes de IA sean vulnerables por diseño debido a su acceso a datos privados, su exposición a contenido no confiable y su capacidad para comunicarse externamente.
La intersección de estas tres capacidades, combinada con la memoria persistente de OpenClaw, "actúa como un acelerador" y amplifica los riesgos, añadió la empresa de ciberseguridad.
"Con la memoria persistente, los ataques ya no son solo exploits puntuales. Se convierten en ataques con estado y ejecución retardada", afirmaron los investigadores Sailesh Mishra y Sean P. Morgan (https://www.paloaltonetworks.com/blog/network-security/why-moltbot-may-signal-ai-crisis/). "Las cargas útiles maliciosas ya no necesitan ejecutarse inmediatamente al ser entregadas. En cambio, pueden ser entradas fragmentadas y no confiables que parecen inofensivas de forma aislada, se escriben en la memoria a largo plazo del agente y posteriormente se ensamblan en un conjunto de instrucciones ejecutables".
"Esto permite la inyección de avisos con desplazamiento temporal, el envenenamiento de memoria y la activación tipo bomba lógica, donde el exploit se crea al ser ingerido, pero detona solo cuando el estado interno del agente, sus objetivos o la disponibilidad de herramientas coinciden".