威脅情報:ClawHub 惡意 skills 投毒分析

avatar
Web3Caff
02-09

慢霧安全團隊在事件暴露後第一時間開展分析,並通過 MistEye 對客戶側進行預警,同時持續跟蹤 ClawHub 上新增惡意 skills。

作者:Yao & sissice

編輯:77

背景

近期,開源 AI Agent 項目 OpenClaw 意外走紅,其官方插件中心 ClawHub 迅速聚集了大量開發者。慢霧安全團隊監測發現,ClawHub 正逐漸成為攻擊者實施供應鏈投毒的新目標。由於平臺缺乏完善、嚴格的審核機制,已有大量惡意 skill 混入其中,並被用於傳播惡意代碼或投放有害內容,給開發者和用戶帶來潛在安全風險。

慢霧安全團隊在事件暴露後第一時間開展分析,並通過 MistEye 對客戶側進行預警,同時持續跟蹤 ClawHub 上新增惡意 skills。

在 OpenClaw 生態中,skills 更準確的說法是 AgentSkills 規範下的 “skill folder”,核心文件通常為 SKILL.md。

SKILL.md 的核心風險在於:它並非代碼倉庫中可審計、可復現的構建產物,而是一段容易被用戶直接執行的操作說明。在 agent 生態中,Markdown 往往承擔 “安裝/初始化入口” 的角色,導致文本從 “說明” 演變為 “指令”。攻擊者只需將惡意命令包裝為依賴安裝或環境配置步驟(如 curl | bash、Base64 解碼執行),即可誘導用戶完成執行鏈路,從而實現落地與數據竊取。

根據 Koi Security 的報告,在對 2,857 個 skills 的掃描中識別出 341 個惡意 skills,反映出典型的 “插件/擴展市場供應鏈投毒” 形態。

(Reffer: https://www.koi.ai/blog/clawhavoc-341-malicious-clawedbot-skills-found-by-the-bot-they-were-targeting)

攻擊手法分析

我們對 400+ 個惡意 skill 的 IOC 做了歸併後發現,很多樣本反覆指向少量固定域名,或者同一 IP 下的多條隨機路徑,資源複用和收斂特徵很明顯。這更像是團伙化、批量化的攻擊:大量惡意 skill 共用同一批域名/IP,並且攻擊手法基本一致。

投遞上,攻擊者經常藉助公共平臺做中轉分發,比如 GitHub Release、glot.io 這類文本託管站點。惡意鏈路多為典型的 “兩段式” 加載邏輯:首階段通過混淆指令通過檢測,二階段動態拉取高危 Payload。這種策略極大地降低了 skill 外殼的暴露面,方便攻擊者實現後端資源的快速更迭。

另外,skills 的命名也比較集中,主要圍繞加密資產、金融信息,以及 “更新 / 安全檢查 / 自動化工具” 等更容易讓人放鬆警惕的場景。

投毒鏈路可以概括為:

1)惡意 skill 在 SKILL.md 中偽裝 “依賴安裝/初始化”;

2)通過 Base64/分段腳本把真實命令藏起來;

3)解碼後執行典型的下載並執行(curl 拉取 → bash 執行);

4)第一階段再拉取第二階段樣本;

5)最終通過少量固定 IP/域名完成收口與持續更新。

木馬分析

以下載量較高的 “X (Twitter) Trends” skill 為例,從外觀描述看起來該 skill 一切正常,使用描述也符合預期,但實際上隱藏了一段經過 Base64 編碼的後門命令。

攻擊者採用 Base64 編碼實現 “閱讀層面的混淆”,讓 SKILL.md 看起來像在輸出配置字符串或安裝信息,從而降低讀者警惕。同時也能規避一些基於關鍵字的粗糙檢測(例如直接匹配 curl|bash)。

對該 base64 命令解碼後,本質是一條典型的 “下載並執行” 指令:

第一階段樣本只是入口,真正的功能被放到第二階段樣本里,方便攻擊者隨時替換 payload、快速迭代而不必頻繁改動 skill 外殼。

上述命令會從 91.92.242.30 下載名為 q0c7ew2ro8l2cfqp 的程序並執行,而該程序又下載並執行第二階段樣本 dyrtvwjfveyxjf23。

這種分階段投遞主要目的在於 “低成本迭代 + 降低暴露面”:skill 外殼 (SKILL.md) 可以保持相對穩定,甚至看起來像正常安裝說明;真正的惡意能力被放在第二階段樣本中,攻擊者只要替換二階段載荷即可快速更新功能與對抗策略,同時也能繞開基於靜態文本的審核與攔截。

經過動態分析發現,第二階段樣本會偽裝系統對話框釣取用戶密碼,驗證密碼有效性後在臨時目錄中收集並歸檔本機信息與文檔,並讀取 Desktop / Documents / Download 的文件。

識別到 txt,pdf 等文件後,將命中的文件與主機信息歸檔為 ZIP 並上傳到 C2 地址 (hxxps[:]//socifiapp.com/api/reports/upload)。

惡意域名分析

從威脅情報平臺查詢顯示,惡意域名 socifiapp[.]com 註冊於 2025 年 7 月 14 日,並已經被標記為惡意遠控。

(Reffer: https://app.validin.com/detail?type=dom&find=socifiapp.com#tab=reputation)

IP 地址 91.92.242.30 在大量惡意 skill 中被複用。根據公開威脅情報,該 IP 與 Poseidon(波塞冬)相關歷史基礎設施存在關聯。該組織常見作案方式包括數據竊取後的勒索。

(Reffer: https://app.validin.com/detail?type=ip&find=91.92.242.30)

MistEye 響應

MistEye 是由 SlowMist 自主研發的一款專注於 Web3 領域的威脅情報與動態安全監控工具。我們深度集成了安全監控與情報聚合功能,為用戶提供實時的風險預警與資產守護。

在確認惡意行為特徵後,MistEye 系統已在第一時間觸發了高危告警。本次預警共涉及 472 個惡意 skills 及其關聯的 IOCs,相關威脅情報已完整推送至客戶。

(https://misteye.io/threat-intelligence/SM-2026-993621)

針對 skills 生態的博弈仍在繼續。MistEye 將持續對各大應用市場進行全天候監控,確保第一時間捕捉並識別新型惡意 skills。後續,我們將正式推出針對 skill 機制的專項監控規則,為客戶提供更長效的安全保障。

總結

這次事件的本質,是 “生態入口 + 文本指令執行” 帶來的供應鏈風險:skill 外殼可以無限換皮,但攻擊者真正依賴的是少數可複用的遠程資源與落點。對防守側而言,抓住 “兩段式加載”“高複用基礎設施”“裸 IP 落點” 三類信號,往往比逐個下架 skill 更有效。下方 IOC 可用於快速封禁與威脅狩獵,但更建議結合行為鏈路建立長期檢測能力。

防護建議

  1. 不要把 SKILL.md 的 “安裝步驟” 當成可信來源,任何要求複製粘貼執行的命令都應先審計;
  2. 警惕 “需要輸入系統密碼/授予輔助功能/系統設置” 的提示,這往往是風險升級點;
  3. 優先從官方渠道獲取依賴與工具,避免執行來源不明的安裝腳本。

IOCs

Domain

socifiapp[.]com

rentry[.]co

install[.]app-distribution.net

URL

hxxp[:]//91.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//91.92.242.30/x5ki60w1ih838sp7

hxxp[:]//91.92.242.30/528n21ktxu08pmer

hxxp[:]//91.92.242.30/66hfqv0uye23dkt2

hxxp[:]//91.92.242.30/6x8c0trkp4l9uugo

hxxp[:]//91.92.242.30/dx2w5j5bka6qkwxi

hxxp[:]//54.91.154.110:13338/

hxxp[:]//91.92.242.30/6wioz8285kcbax6v

hxxp[:]//91.92.242.30/1v07y9e1m6v7thl6

hxxp[:]//91.92.242.30/q0c7ew2ro8l2cfqp

hxxp[:]//91.92.242.30/dyrtvwjfveyxjf23

hxxps[:]//rentry.co/openclaw-core

hxxps[:]//glot.io/snippets/hfdxv8uyaf

hxxp[:]//92.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//95.92.242.30/7buu24ly8m1tn8m4

hxxps[:]//install.app-distribution.net/setup/

hxxp[:]//11.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//202.161.50.59/7buu24ly8m1tn8m4

hxxp[:]//96.92.242.30/7buu24ly8m1tn8m4

hxxps[:]//glot.io/snippets/hfd3x9ueu5

IP

91.92.242.30

104.18.38.233

95.92.242.30

54.91.154.110

92.92.242.30

11.92.242.30

202.161.50.59

96.92.242.30

file

filename: dyrtvwjfveyxjf23

SHA256: 30f97ae88f8861eeadeb54854d47078724e52e2ef36dd847180663b7f5763168

filename: 66hfqv0uye23dkt2

SHA256: 0e52566ccff4830e30ef45d2ad804eefba4ffe42062919398bf1334aab74dd65

filename: x5ki60w1ih838sp7

SHA256: 1e6d4b0538558429422b71d1f4d724c8ce31be92d299df33a8339e32316e2298

filename: dx2w5j5bka6qkwxi

SHA256: 998c38b430097479b015a68d9435dc5b98684119739572a4dff11e085881187e

filename: openclaw-agent.exe

SHA256: 17703b3d5e8e1fe69d6a6c78a240d8c84b32465fe62bed5610fb29335fe42283

免責聲明:作為區塊鏈信息平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。

來源
免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論
相關推薦