SlowMist cảnh báo về vụ tấn công chuỗi cung ứng nhắm vào trung tâm plugin ClawHub của OpenClaw, nơi cơ chế đánh giá lỏng lẻo đã tạo điều kiện cho nhiều kỹ năng (skills) độc hại xâm nhập và phát tán mã nguy hiểm. Koi Security đã quét 2.857 kỹ năng trên nền tảng này và phát hiện 341 mẫu chứa mã độc, cho thấy mức độ rủi ro đáng kể đối với người dùng.
Phân tích của SlowMist trên hơn 400 chỉ số xâm nhập (IOC) cho thấy đây là chiến dịch tấn công có tổ chức, triển khai theo lô, tập trung vào một số tên miền và địa chỉ IP cố định. Tin tặc sử dụng cơ chế tải hai giai đoạn: đầu tiên che giấu mã bằng kỹ thuật obfuscation, sau đó động tải payload độc hại từ máy chủ điều khiển (C2).
Một ví dụ điển hình là kỹ năng “X (Twitter) Trends”, vốn ẩn một backdoor mã hóa Base64. Khi kích hoạt, mã độc sẽ tải xuống và thực thi phần mềm gián điệp nhằm đánh cắp mật khẩu, thu thập tệp tin và gửi dữ liệu về máy chủ của kẻ tấn công. SlowMist khuyến nghị người dùng thận trọng với các plugin không rõ nguồn gốc và chỉ cài đặt từ nhà phát triển đáng tin cậy.
Theo Tapchibitcoin
