Incidents associés
Un audit de sécurité portant sur 2 857 compétences disponibles sur ClawHub a révélé la présence de 341 compétences malveillantes dans le cadre de plusieurs campagnes, selon nouvelles découvertes de Koi Security, exposant ainsi les utilisateurs à de nouveaux risques pour leur chaîne d'approvisionnement.
ClawHub est une plateforme conçue pour faciliter la recherche et l'installation de compétences tierces par les utilisateurs d'OpenClaw. Il s'agit d'une extension du projet OpenClaw, un assistant d'intelligence artificielle (IA) auto-hébergé, anciennement connu sous les noms de Clawdbot et Moltbot.
L'analyse, menée par Koi avec l'aide d'un bot OpenClaw nommé Alex, a révélé que 335 skills utilisent de faux prérequis pour installer un voleur de macOS d'Apple nommé Atomic Stealer (AMOS). Ce groupe d'activités est connu sous le nom de code ClawHavoc.
« Vous installez ce qui semble être une skill légitime, comme solana-wallet-tracker ou youtube-summarize-pro », explique Oren Yomtov, chercheur chez Koi. « La documentation de la skill paraît professionnelle. Mais une section "Prérequis" indique qu'il faut installer un logiciel au préalable. »
Cette étape comporte des instructions pour Windows et macOS : sous Windows, les utilisateurs sont invités à télécharger un fichier nommé « openclaw-agent.zip » depuis un dépôt GitHub. Sur macOS, la documentation indique de copier un script d'installation hébergé sur glot[.]io et de le coller dans l'application Terminal. Le ciblage de macOS n'est pas fortuit, car des rapports ont fait état de personnes achetant des Mac Mini pour faire fonctionner l'assistant IA 24h/24 et 7j/7.
L'archive protégée par mot de passe contient un cheval de Troie doté d'une fonction d'enregistrement des frappes au clavier, permettant de capturer les clés API, les identifiants et autres données sensibles de la machine, y compris celles auxquelles le bot a déjà accès. Par ailleurs, le script glot[.]io contient des commandes shell obfusquées pour récupérer des charges utiles ultérieures depuis une infrastructure contrôlée par l'attaquant.
Cela implique, à son tour, de se connecter à une autre adresse IP (« 91.92.242[.]30 ») pour récupérer un autre script shell, configuré pour contacter le même serveur afin d'obtenir un binaire Mach-O universel présentant des caractéristiques similaires à celles d'Atomic Stealer, un logiciel de vol de données disponible pour 500 à 1 000 $ par mois et capable de collecter des données sur des systèmes macOS.
Selon Koi, les compétences malveillantes se font passer pour :
-
Des typosquats ClawHub (ex. : clawhub, clawhub1, clawhubb, clawhubcli, clawwhub, cllawhub)
-
Des outils de cryptomonnaie comme les portefeuilles Solana et les traqueurs de portefeuilles
-
Des bots Polymarket (ex. : polymarket-trader, polymarket-pro, polytrading)
-
Des utilitaires YouTube (ex. : youtube-summarize, youtube-thumbnail-grabber, youtube-video-downloader)
-
Des outils de mise à jour automatique (ex. : auto-updater-agent, update, updater)
-
Des outils financiers et de réseaux sociaux (ex. : yahoo-finance-pro, x-trends-tracker)
-
Des outils Google Workspace prétendant s'intégrer à Gmail, Agenda, Sheets et Drive
-
Des traqueurs de gaz Ethereum
-
Des outils de recherche de Bitcoins perdus
De plus, la société de cybersécurité a déclaré avoir identifié des compétences dissimulant des shells inversés. des portes dérobées dans du code fonctionnel (par exemple, better-polymarket et polymarket-all-in-one), ou l'exfiltration des identifiants du bot présents dans « ~/.clawdbot/.env » vers un site webhook (par exemple, rankaj).
[
] (https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdUIlSL9qpCVbfy1TNUn-HizuE9n6MdFG5YHsHFM9xPa-VGEUo9aaIOAYFIngxa3eySnljrSlNEswxcdWoqbVIa1r2QMMl6PKzfprbnsb-8Gr4wIa-CElQxwA-lufP6EutwkSLX5Zh-C-3-KiLa61nzkZF1nIw3_CVdEQ290WxL7gAXniTyHy2c5irJ_be/s1700-e365/skill-malware-2.png)
Cette découverte coïncide avec un rapport d'OpenSourceMalware, qui a également signalé la même campagne ClawHavoc ciblant les utilisateurs d'OpenClaw.
« Ces programmes se font passer pour des outils d'automatisation du trading de cryptomonnaies et installent des logiciels malveillants de vol d'informations sur les systèmes macOS et Windows », explique Paul McCarty, chercheur en sécurité connu sous le pseudonyme de 6mile.
« Tous ces programmes partagent la même infrastructure de commande et de contrôle (91.92.242[.]30) et utilisent des techniques d'ingénierie sociale sophistiquées pour inciter les utilisateurs à exécuter des commandes malveillantes, permettant ainsi le vol d'actifs cryptographiques tels que les clés API des plateformes d'échange, les clés privées des portefeuilles, les identifiants SSH et les mots de passe des navigateurs. »
OpenClaw ajoute une option de signalement
Le problème vient du fait que ClawHub est ouvert par défaut et permet à quiconque de télécharger des compétences. La seule restriction à ce stade est que l'éditeur doit posséder un compte GitHub créé depuis au moins une semaine.
Le problème des compétences malveillantes n'est pas passé inaperçu auprès de Peter Steinberger, le créateur d'OpenClaw, qui a depuis mis en place une fonctionnalité de signalement permettant aux utilisateurs connectés de signaler une compétence. « Chaque utilisateur peut avoir jusqu'à 20 rapports actifs simultanément », indique la documentation [https://docs.openclaw.ai/tools/clawhub#security-and-moderation]. « Les compétences comportant plus de 3 rapports uniques sont masquées par défaut. »
Ces constats soulignent comment les écosystèmes open source continuent d'être exploités par des acteurs malveillants, qui profitent de la popularité soudaine d'OpenClaw pour orchestrer des campagnes malveillantes et diffuser des logiciels malveillants à grande échelle.
Dans un rapport publié la semaine dernière, Palo Alto Networks a averti qu'OpenClaw représente ce que le programmeur britannique Simon Willison, inventeur du terme « injection prompte », décrit comme un « trio fatal » [https://simonwillison.net/2025/Jun/16/the-lethal-trifecta/], rendant les agents d'IA vulnérables par conception, du fait de leur accès aux données privées, de leur exposition à du contenu non fiable et de leur capacité à communiquer avec l'extérieur.
L'intersection de ces trois fonctionnalités, combinée à la mémoire persistante d'OpenClaw, « agit comme un accélérateur » et amplifie les risques, a ajouté l'entreprise de cybersécurité.
« Grâce à la mémoire persistante, les attaques ne se limitent plus à des exploitations ponctuelles. Elles deviennent des attaques à exécution différée et avec état », ont déclaré les chercheurs Sailesh Mishra et Sean P. Morgan [https://www.paloaltonetworks.com/blog/network-security/why-moltbot-may-signal-ai-crisis/]. « Les charges utiles malveillantes n'ont plus besoin de déclencher une exécution immédiate à leur réception. Elles peuvent désormais être des entrées fragmentées et non fiables, apparemment inoffensives prises isolément, écrites dans la mémoire à long terme de l'agent, puis assemblées en un ensemble d'instructions exécutables. »
« Ceci permet l'injection d'invites décalées dans le temps, l'empoisonnement de la mémoire et l'activation de type bombe logique, où l'exploit est créé lors de l'ingestion mais n'explose que lorsque l'état interne, les objectifs ou la disponibilité des outils de l'agent s'alignent. »