Thông tin tình báo về mối đe dọa: Phân tích tấn công đầu độc kỹ năng ClawHub.

Đội ngũ bảo mật SlowMist đã tiến hành phân tích ngay sau khi sự cố được phát hiện và gửi cảnh báo đến khách hàng thông qua MistEye, đồng thời liên tục theo dõi các kỹ năng độc hại mới trên ClawHub.

Tác giả: Yao & sissice

Biên tập viên: 77

bối cảnh

Gần đây, dự án phần mềm mã nguồn mở OpenClaw bất ngờ trở nên phổ biến, và trung tâm plug-in chính thức của nó, ClawHub, nhanh chóng thu hút lượng lớn nhà phát triển. Đội ngũ giám sát an ninh SlowMist tiết lộ rằng ClawHub đang dần trở thành mục tiêu mới của tin tặc nhằm thực hiện các cuộc tấn công đầu độc Chuỗi cung ứng. Do nền tảng thiếu cơ chế kiểm duyệt hoàn thiện và nghiêm ngặt, lượng lớn kỹ năng độc hại đã bị trong đó và sử dụng để phát tán mã độc hoặc cung cấp nội dung có hại, gây ra rủi ro bảo mật tiềm tàng cho các nhà phát triển và người dùng.

Đội ngũ bảo mật SlowMist đã tiến hành phân tích ngay sau khi sự cố được phát hiện và gửi cảnh báo đến khách hàng thông qua MistEye, đồng thời liên tục theo dõi các kỹ năng độc hại mới trên ClawHub.

Trong hệ sinh thái OpenClaw, thuật ngữ chính xác hơn cho các kỹ năng là "thư mục kỹ năng" trong đặc tả AgentSkills, với tệp cốt lõi thường là SKILL.md.

Rủi ro cốt lõi của SKILL.md nằm ở chỗ nó không phải là một sản phẩm xây dựng kiểm toán và tái tạo được từ kho mã nguồn, mà chỉ là một tập hợp các hướng dẫn mà người dùng có thể dễ dàng thực thi trực tiếp. Trong hệ sinh thái tác nhân, Markdown thường đóng vai trò là "nhân vật vào cài đặt/khởi tạo", khiến văn bản chuyển từ "hướng dẫn" thành "lệnh". Kẻ tấn công chỉ cần đóng gói các lệnh độc hại dưới dạng các bước cài đặt phụ thuộc hoặc cấu hình hoàn cảnh(chẳng hạn như curl | bash, thực thi được giải mã Base64) để lừa người dùng hoàn thành Chuỗi thực thi, từ đó đạt được sự xâm nhập và đánh cắp dữ liệu.

Theo báo cáo của Koi Security, 341 kỹ năng độc hại đã được xác định trong quá trình quét 2.857 kỹ năng, phản ánh mô hình "đầu độc Chuỗi cung ứng thị trường plug-in/ mở rộng " điển hình.

Phân tích phương pháp tấn công

Sau khi hợp nhất các IOC (Impact of Occlusion - chỉ báo xâm nhập) của hơn 400 kỹ năng độc hại, chúng tôi nhận thấy nhiều mẫu liên tục trỏ đến một số ít tên miền cố định hoặc nhiều đường dẫn ngẫu nhiên dưới cùng một địa chỉ IP, cho thấy đặc điểm tái sử dụng tài nguyên và hội tụ rõ ràng. Điều này giống như một cuộc tấn công theo nhóm, theo lô: lượng lớn kỹ năng độc hại chia sẻ cùng một nhóm tên miền/địa chỉ IP, và phương thức tấn công về cơ bản là giống nhau.

Về phương thức phân phối, tin tặc thường sử dụng các nền tảng công cộng làm trung gian, chẳng hạn như các trang lưu trữ văn bản như GitHub Releases và glot.io. Chuỗi độc hại thường sử dụng logic tải hai giai đoạn: giai đoạn đầu tiên sử dụng các lệnh được mã hóa để tránh bị phát hiện, và giai đoạn thứ hai tự động tải xuống các payload có rủi ro cao. Chiến lược này làm giảm đáng kể khả năng bị lộ của shell kỹ năng, tạo điều kiện thuận lợi cho tin tặc cập nhật nhanh chóng các tài nguyên máy chủ.

Ngoài ra, việc đặt tên các kỹ năng cũng tương đối tập trung, chủ yếu xoay quanh tài sản crypto , thông tin tài chính và các tình huống dễ khiến mọi người mất cảnh giác, chẳng hạn như "cập nhật/kiểm tra bảo mật/công cụ tự động hóa".

Chuỗi gây ngộ độc có thể được tóm tắt như sau:

1) Một kỹ năng độc hại ngụy trang quá trình "cài đặt/khởi tạo phụ thuộc" trong tệp SKILL.md;

2) Ẩn các lệnh thực tế bằng cách sử dụng Base64/các tập lệnh phân đoạn;

3) Sau khi giải mã, thực hiện tải xuống và thực thi thông thường (curl fetch → bash execution);

4) Giai đoạn đầu tiên sẽ thu thập các mẫu cho giai đoạn thứ hai;

5) Cuối cùng, quá trình khép kín vòng lặp và liên tục cập nhật trang web được hoàn tất bằng cách sử dụng một số lượng nhỏ địa chỉ IP/ tên miền cố định.

Phân tích Trojan

Lấy ví dụ kỹ năng phổ biến "X (Twitter) Trends". Nhìn bề ngoài, kỹ năng này có vẻ bình thường, và cách sử dụng cũng như mong đợi. Tuy nhiên, thực chất nó lại ẩn chứa một lệnh cửa hậu được mã hóa bằng Base64.

Kẻ tấn công đã sử dụng mã hóa Base64 để "che giấu khả năng đọc hiểu", khiến SKILL.md trông như xuất ra các chuỗi cấu hình hoặc thông tin cài đặt, do đó làm giảm sự cảnh giác của người đọc. Điều này cũng giúp tránh được một số phương pháp phát hiện dựa trên từ khóa thô sơ (chẳng hạn như khớp trực tiếp với curl|bash).

Sau khi giải mã lệnh base64, về cơ bản đó là một lệnh "tải xuống và thực thi" thông thường:

Mẫu ở giai đoạn đầu chỉ là điểm khởi đầu; chức năng thực sự nằm ở mẫu giai đoạn thứ hai, cho phép kẻ tấn công dễ dàng thay thế payload và lặp lại nhanh chóng mà không cần phải thường xuyên sửa đổi lớp vỏ kỹ năng.

Lệnh trên sẽ tải xuống và thực thi một chương trình có tên q0c7ew2ro8l2cfqp từ 91.92.242.30, chương trình này sau đó sẽ tải xuống và thực thi mẫu giai đoạn thứ hai dyrtvwjfveyxjf23.

Mục đích chính của việc phân phối theo từng giai đoạn này là "lặp lại với chi phí thấp + giảm thiểu rủi ro": lớp vỏ kỹ năng (SKILL.md) có thể duy trì tính ổn định tương đối và thậm chí trông giống như một hướng dẫn cài đặt thông thường; các khả năng độc hại thực sự được đặt trong mẫu giai đoạn thứ hai. Kẻ tấn công có thể nhanh chóng cập nhật các chức năng và biện pháp đối phó bằng cách đơn giản là thay thế tải trọng giai đoạn thứ hai, đồng thời bỏ qua việc xem xét và chặn dựa trên văn bản tĩnh.

Phân tích động cho thấy mẫu phần mềm độc hại giai đoạn hai sẽ giả dạng hộp thoại hệ thống để đánh cắp mật khẩu người dùng. Sau khi xác minh tính hợp lệ của mật khẩu, nó sẽ thu thập và lưu trữ thông tin và tài liệu cục bộ vào một mục lục tạm thời và đọc các tệp từ Desktop / Documents / Download.

Phân tích tên miền độc hại

Theo nền tảng tình báo về mối đe dọa, tên miền độc hại socifiapp[.]com đã được đăng ký vào ngày 14 tháng 7 năm 2025 và được đánh dấu là điều khiển từ xa độc hại.

Địa chỉ IP 91.92.242.30 được sử dụng lại trong lượng lớn cuộc tấn công độc hại. Theo thông tin tình báo về mối đe dọa được công khai, địa chỉ IP này có liên quan đến cơ sở hạ tầng lịch sử của nhóm Poseidon. Phương thức hoạt động phổ biến của nhóm này bao gồm tống tiền sau khi đánh cắp dữ liệu .

Phản hồi MistEye

MistEye là một công cụ giám sát an ninh động và thu thập thông tin tình báo về mối đe dọa, được phát triển độc lập bởi SlowMist, tập trung vào lĩnh vực Web3. Chúng tôi đã tích hợp độ sâu các chức năng giám sát an ninh và tổng hợp thông tin tình báo để cung cấp cho người dùng cảnh báo rủi ro theo thời gian thực và bảo vệ tài sản.

Sau khi xác nhận các đặc điểm của hành vi độc hại, hệ thống MistEye ngay lập tức kích hoạt cảnh báo rủi ro cao. Cảnh báo lần bao gồm 472 kỹ năng độc hại và các Chỉ báo về Sự xâm phạm (IOC) liên quan, và toàn bộ thông tin tình báo về mối đe dọa liên quan đã được chuyển đến khách hàng.

Cuộc chiến giành giật hệ sinh thái kỹ năng vẫn tiếp diễn. MistEye sẽ tiếp tục giám sát các cửa hàng ứng dụng lớn suốt ngày đêm để đảm bảo phát hiện và nhận diện kịp thời các kỹ năng độc hại mới. Trong thời gian tới, chúng tôi sẽ chính thức ra mắt các quy tắc giám sát cụ thể cho các cơ chế kỹ năng nhằm cung cấp cho khách hàng sự bảo vệ an ninh lâu dài hơn.

Tóm tắt

Bản chất của sự cố lần nằm ở rủi ro Chuỗi cung ứng do "điểm xâm nhập hệ sinh thái + thực thi lệnh văn bản" gây ra: các shell kỹ năng có thể được đổi tên vô hạn, nhưng kẻ tấn công thực sự dựa vào một vài tài nguyên từ xa và điểm hạ cánh có thể tái sử dụng. Về phía phòng thủ, việc xác định ba tín hiệu — "tải hai giai đoạn", "cơ sở hạ tầng có khả năng tái sử dụng cao" và "điểm hạ cánh IP trần" — thường hiệu quả hơn so với hủy niêm yết từng kỹ năng một. Các IOC dưới đây có thể được sử dụng để chặn nhanh và săn lùng mối đe dọa, nhưng nên kết hợp chúng với Chuỗi hành vi để thiết lập khả năng phát hiện lâu dài.

Các biện pháp bảo vệ

1. Không nên coi "các bước cài đặt" trong SKILL.md là nguồn thông tin đáng tin cậy; bất kỳ lệnh nào yêu cầu sao chép và dán đều cần kiểm toán kỹ lưỡng trước khi sử dụng.
2. Hãy cảnh giác với những lời nhắc yêu cầu "mật khẩu hệ thống/quyền truy cập/cài đặt hệ thống", vì đây thường là những điểm mà rủi ro nâng cấp.
3. Ưu tiên tải các thư viện và công cụ cần thiết từ các kênh chính thức và tránh chạy các tập lệnh cài đặt từ các nguồn không xác định.

IOCs

Lãnh địa

socifiapp[.]com

rentry[.]co

install[.]app-distribution.net

URL

hxxp[:]//91.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//91.92.242.30/x5ki60w1ih838sp7

hxxp[:]//91.92.242.30/528n21ktxu08pmer

hxxp[:]//91.92.242.30/66hfqv0uye23dkt2

hxxp[:]//91.92.242.30/6x8c0trkp4l9uugo

hxxp[:]//91.92.242.30/dx2w5j5bka6qkwxi

hxxp[:]//54.91.154.110:13338/

hxxp[:]//91.92.242.30/6wioz8285kcbax6v

hxxp[:]//91.92.242.30/1v07y9e1m6v7thl6

hxxp[:]//91.92.242.30/q0c7ew2ro8l2cfqp

hxxp[:]//91.92.242.30/dyrtvwjfveyxjf23

hxxps[:]//rentry.co/openclaw-core

hxxps[:]//glot.io/snippets/hfdxv8uyaf

hxxp[:]//92.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//95.92.242.30/7buu24ly8m1tn8m4

hxxps[:]//install.app-distribution.net/setup/

hxxp[:]//11.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//202.161.50.59/7buu24ly8m1tn8m4

hxxp[:]//96.92.242.30/7buu24ly8m1tn8m4

hxxps[:]//glot.io/snippets/hfd3x9ueu5

Địa chỉ IP

91.92.242.30

104.18.38.233

95.92.242.30

54.91.154.110

92.92.242.30

11.92.242.30

202.161.50.59

96.92.242.30

tài liệu

Tên tệp: dyrtvwjfveyxjf23

SHA256: 30f97ae88f8861eeadeb54854d47078724e52e2ef36dd847180663b7f5763168

Tên tệp: 66hfqv0uye23dkt2

SHA256: 0e52566ccff4830e30ef45d2ad804eefba4ffe42062919398bf1334aab74dd65

Tên tệp: x5ki60w1ih838sp7

SHA256: 1e6d4b0538558429422b71d1f4d724c8ce31be92d299df33a8339e32316e2298

tên tệp: dx2w5j5bka6qkwxi

SHA256: 998c38b430097479b015a68d9435dc5b98684119739572a4dff11e085881187e

Tên tệp: openclaw-agent.exe

SHA256: 17703b3d5e8e1fe69d6a6c78a240d8c84b32465fe62bed5610fb29335fe42283

Tuyên bố miễn trừ trách nhiệm: Là blockchain, các bài viết được đăng tải trên trang web này chỉ thể hiện quan điểm cá nhân của tác giả và khách mời và không phản ánh lập trường của Web3Caff. Thông tin trong các bài viết chỉ mang tham khảo và không cấu thành bất kỳ lời khuyên hoặc đề nghị đầu tư nào. Vui lòng tuân thủ các luật và quy định hiện hành của quốc gia hoặc khu vực của bạn.