Ataques à cadeia de fornecimento visam plataforma open source de agentes de IA

Investigadores das empresas de cibersegurança SlowMist e Koi Security identificaram uma campanha em larga escala que explora o ecossistema da OpenClaw, através da publicação de skills maliciosas no ClawHub, o marketplace oficial da plataforma. Os ataques permitem a distribuição de infostealers, como o Atomic macOS Stealer, que colocam em risco utilizadores e programadores.

A OpenClaw permite a criação de agentes de inteligência artificial locais capazes de automatizar tarefas, interagir com serviços externos e controlar dispositivos, recorrendo a extensões modulares conhecidas como skills. Estas extensões seguem a especificação AgentSkills e são frequentemente compostas por ficheiros SKILL.md, que contêm instruções executáveis em vez de código tradicional auditável, uma abordagem que transforma ficheiros Markdown em pontos de execução, abrindo a porta a abusos.

De acordo com a Koi Security, foram analisadas 2.857 skills disponíveis no ClawHub, tendo sido identificadas 341 como maliciosas, o que representa uma taxa de infeção de cerca de 12%. A campanha, designada ClawHavoc, foi confirmada também pela SlowMist, que agregou indicadores de compromisso de mais de 400 amostras e identificou 472 skills afetadas a recorrer a infraestruturas partilhadas.

As extensões maliciosas fazem-se passar por ferramentas legítimas, sobretudo relacionadas com criptomoedas, utilitários para YouTube, bots de previsão de mercados como o Polymarket e até supostos mecanismos de atualização ou verificação de segurança. Em alguns casos, recorrem a typosquatting, utilizando nomes semelhantes aos de projetos populares para enganar os utilizadores.

A cadeia de ataque assenta na inclusão de payloads em duas fases nas secções de “pré-requisitos” dos ficheiros SKILL.md. Os comandos, frequentemente ofuscados em Base64, desencadeiam a execução de scripts que descarregam binários adicionais a partir de servidores remotos. Estes binários correspondem a variantes do Atomic macOS Stealer, capazes de recolher dados das pastas Desktop e Documents, roubar credenciais do Keychain e de navegadores, e exfiltrar informação para servidores de comando e controlo.

A análise revelou ainda a utilização de diálogos de phishing para recolha de palavras-passe, compressão de ficheiros sensíveis e exfiltração via ferramentas como curl. A reutilização de domínios e endereços IP associados a outros grupos criminosos sugere uma operação organizada e sustentada.

Os investigadores alertam que o processo permissivo de submissão de skills no ClawHub, sem revisões de segurança rigorosas, replica fragilidades já observadas noutros ecossistemas, como repositórios npm ou marketplaces de extensões.