Uma campanha de malware disfarçada inteligentemente está atingindo desenvolvedores e sistemas impulsionados por IA, escondendo-se dentro do que parece ser um plugin legítimo para um framework de IA de código aberto. Pesquisadores de segurança descobriram uma ameaça que aproveita totalmente como os agentes de IA modernos funcionam, usando sua natureza automatizada como uma arma contra os próprios usuários que eles foram projetados para ajudar.
Como o ataque da habilidade OpenClaw se desenrola
O framework OpenClaw, anteriormente conhecido como Clawdbot e Moltbot, é uma ferramenta de código aberto construída para permitir que agentes de IA realizem tarefas complexas e de alta privilégio em sistemas locais. Seu design modular de "habilidade" foi exatamente o que o atacante explorou. A falsa habilidade DeepSeek-Claw parecia legítima na superfície, mas seu arquivo SKILL.md escondia um comando PowerShell envenenado que baixava silenciosamente e executava um pacote de instalação remoto de um servidor controlado pelo ator da ameaça.
Esse instalador deixou dois arquivos no sistema: um executável GoToMeeting genuíno e digitalmente assinado e um DLL malicioso disfarçado como sua dependência. Quando o aplicativo confiável foi executado, ele carregou o DLL falso em vez disso, uma técnica conhecida como DLL sideloading. O DLL malicioso então patchou ferramentas de segurança do Windows na memória para cegá-las antes de decodificar e lançar o Remcos RAT, que abriu um canal criptografado de volta ao atacante.
GhostLoader e a ameaça de dados de desenvolvedores
O caminho de ataque alternativo, construído para ambientes macOS e Linux, usou um arquivo Node.js fortemente ofuscado enterrado dentro de scripts de ciclo de vida npm. Quando o comando de instalação foi executado, ele silenciosamente deixou o GhostLoader no sistema. No macOS e Linux, o malware também exibia prompts de senha falsos para enganar os usuários e entregar suas credenciais diretamente.
Uma vez ativo, o GhostLoader varreu o host em busca de qualquer coisa valiosa: dados do macOS Keychain, chaves SSH, arquivos de carteira de criptomoedas e tokens de API em nuvem. Tudo isso foi enviado de volta para servidores controlados pelo atacante. Analistas da Zscaler notaram que, à medida que os agentes de IA se tornam padrão em pipelines de desenvolvimento, o envenenamento da cadeia de suprimentos por habilidades falsas é uma ameaça crescente.
Indicadores de comprometimento e mitigação
Os atacantes usaram URLs como hxxps://cloudcraftshub[.]com/api e hxxp://dropras[.]xyz/ para distribuição. O repositório malicioso no GitHub foi identificado como github.com/Needvainverter93/deepseek-claw. As organizações devem auditar rigorosamente todos os plugins de terceiros e impor monitoramento comportamental estrito para qualquer ferramenta que interaja com recursos locais privilegiados.
Os hashes MD5 incluem 1c267cab0a800a7b2d598bc1b112d5ce para a habilidade OpenClaw e 2C4B7C8B48E6B4E5F3E8854F2ABFEDB5 para o payload Remcos RAT. O servidor C2 do Remcos está em 146[.]19.24[.]131:2404.
Implicações para a segurança de IA
Este ataque destaca os riscos emergentes de integrar ferramentas de IA não verificadas em fluxos de trabalho automatizados. A capacidade de um agente de IA de baixar e executar código sem supervisão humana direta cria um vetor de ataque poderoso. CISOs devem revisar políticas de uso de IA e implementar controles de sandbox para ambientes de desenvolvimento.
O que os CISOs devem fazer imediatamente
1. Revise todos os plugins e habilidades de IA instalados nos últimos meses. 2. Bloqueie URLs e hashes de IOCs identificados no firewall e SIEM. 3. Implemente monitoramento de comportamento para processos de instalação de software. 4. Eduque desenvolvedores sobre riscos de cadeia de suprimentos em frameworks de IA.