慢雾安全团队在事件暴露后第一时间开展分析,并通过 MistEye 对客户侧进行预警,同时持续跟踪 ClawHub 上新增恶意 skills。

作者:Yao & sissice

编辑:77

背景

近期,开源 AI Agent 项目 OpenClaw 意外走红,其官方插件中心 ClawHub 迅速聚集了大量开发者。慢雾安全团队监测发现,ClawHub 正逐渐成为攻击者实施供应链投毒的新目标。由于平台缺乏完善、严格的审核机制,已有大量恶意 skill 混入其中,并被用于传播恶意代码或投放有害内容,给开发者和用户带来潜在安全风险。

慢雾安全团队在事件暴露后第一时间开展分析,并通过 MistEye 对客户侧进行预警,同时持续跟踪 ClawHub 上新增恶意 skills。

在 OpenClaw 生态中,skills 更准确的说法是 AgentSkills 规范下的 “skill folder”,核心文件通常为 SKILL.md。

SKILL.md 的核心风险在于:它并非代码仓库中可审计、可复现的构建产物,而是一段容易被用户直接执行的操作说明。在 agent 生态中,Markdown 往往承担 “安装/初始化入口” 的角色,导致文本从 “说明” 演变为 “指令”。攻击者只需将恶意命令包装为依赖安装或环境配置步骤(如 curl | bash、Base64 解码执行),即可诱导用户完成执行链路,从而实现落地与数据窃取。

根据 Koi Security 的报告,在对 2,857 个 skills 的扫描中识别出 341 个恶意 skills,反映出典型的 “插件/扩展市场供应链投毒” 形态。

(Reffer: https://www.koi.ai/blog/clawhavoc-341-malicious-clawedbot-skills-found-by-the-bot-they-were-targeting)

攻击手法分析

我们对 400+ 个恶意 skill 的 IOC 做了归并后发现,很多样本反复指向少量固定域名,或者同一 IP 下的多条随机路径,资源复用和收敛特征很明显。这更像是团伙化、批量化的攻击:大量恶意 skill 共用同一批域名/IP,并且攻击手法基本一致。

投递上,攻击者经常借助公共平台做中转分发,比如 GitHub Release、glot.io 这类文本托管站点。恶意链路多为典型的 “两段式” 加载逻辑:首阶段通过混淆指令通过检测,二阶段动态拉取高危 Payload。这种策略极大地降低了 skill 外壳的暴露面,方便攻击者实现后端资源的快速更迭。

另外,skills 的命名也比较集中,主要围绕加密资产、金融信息,以及 “更新 / 安全检查 / 自动化工具” 等更容易让人放松警惕的场景。

投毒链路可以概括为:

1)恶意 skill 在 SKILL.md 中伪装 “依赖安装/初始化”;

2)通过 Base64/分段脚本把真实命令藏起来;

3)解码后执行典型的下载并执行(curl 拉取 → bash 执行);

4)第一阶段再拉取第二阶段样本;

5)最终通过少量固定 IP/域名完成收口与持续更新。

木马分析

以下载量较高的 “X (Twitter) Trends” skill 为例,从外观描述看起来该 skill 一切正常,使用描述也符合预期,但实际上隐藏了一段经过 Base64 编码的后门命令。

攻击者采用 Base64 编码实现 “阅读层面的混淆”,让 SKILL.md 看起来像在输出配置字符串或安装信息,从而降低读者警惕。同时也能规避一些基于关键字的粗糙检测(例如直接匹配 curl|bash)。

对该 base64 命令解码后,本质是一条典型的 “下载并执行” 指令:

第一阶段样本只是入口,真正的功能被放到第二阶段样本里,方便攻击者随时替换 payload、快速迭代而不必频繁改动 skill 外壳。

上述命令会从 91.92.242.30 下载名为 q0c7ew2ro8l2cfqp 的程序并执行,而该程序又下载并执行第二阶段样本 dyrtvwjfveyxjf23。

这种分阶段投递主要目的在于 “低成本迭代 + 降低暴露面”:skill 外壳 (SKILL.md) 可以保持相对稳定,甚至看起来像正常安装说明;真正的恶意能力被放在第二阶段样本中,攻击者只要替换二阶段载荷即可快速更新功能与对抗策略,同时也能绕开基于静态文本的审核与拦截。

经过动态分析发现,第二阶段样本会伪装系统对话框钓取用户密码,验证密码有效性后在临时目录中收集并归档本机信息与文档,并读取 Desktop / Documents / Download 的文件。

识别到 txt,pdf 等文件后,将命中的文件与主机信息归档为 ZIP 并上传到 C2 地址 (hxxps[:]//socifiapp.com/api/reports/upload)。

恶意域名分析

从威胁情报平台查询显示,恶意域名 socifiapp[.]com 注册于 2025 年 7 月 14 日,并已经被标记为恶意远控。

(Reffer: https://app.validin.com/detail?type=dom&find=socifiapp.com#tab=reputation)

IP 地址 91.92.242.30 在大量恶意 skill 中被复用。根据公开威胁情报,该 IP 与 Poseidon(波塞冬)相关历史基础设施存在关联。该组织常见作案方式包括数据窃取后的勒索。

(Reffer: https://app.validin.com/detail?type=ip&find=91.92.242.30)

MistEye 响应

MistEye 是由 SlowMist 自主研发的一款专注于 Web3 领域的威胁情报与动态安全监控工具。我们深度集成了安全监控与情报聚合功能,为用户提供实时的风险预警与资产守护。

在确认恶意行为特征后,MistEye 系统已在第一时间触发了高危告警。本次预警共涉及 472 个恶意 skills 及其关联的 IOCs,相关威胁情报已完整推送至客户。

(https://misteye.io/threat-intelligence/SM-2026-993621)

针对 skills 生态的博弈仍在继续。MistEye 将持续对各大应用市场进行全天候监控,确保第一时间捕捉并识别新型恶意 skills。后续,我们将正式推出针对 skill 机制的专项监控规则,为客户提供更长效的安全保障。

总结

这次事件的本质,是 “生态入口 + 文本指令执行” 带来的供应链风险:skill 外壳可以无限换皮,但攻击者真正依赖的是少数可复用的远程资源与落点。对防守侧而言,抓住 “两段式加载”“高复用基础设施”“裸 IP 落点” 三类信号,往往比逐个下架 skill 更有效。下方 IOC 可用于快速封禁与威胁狩猎,但更建议结合行为链路建立长期检测能力。

防护建议

  1. 不要把 SKILL.md 的 “安装步骤” 当成可信来源,任何要求复制粘贴执行的命令都应先审计;
  2. 警惕 “需要输入系统密码/授予辅助功能/系统设置” 的提示,这往往是风险升级点;
  3. 优先从官方渠道获取依赖与工具,避免执行来源不明的安装脚本。

IOCs

Domain

socifiapp[.]com

rentry[.]co

install[.]app-distribution.net

URL

hxxp[:]//91.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//91.92.242.30/x5ki60w1ih838sp7

hxxp[:]//91.92.242.30/528n21ktxu08pmer

hxxp[:]//91.92.242.30/66hfqv0uye23dkt2

hxxp[:]//91.92.242.30/6x8c0trkp4l9uugo

hxxp[:]//91.92.242.30/dx2w5j5bka6qkwxi

hxxp[:]//54.91.154.110:13338/

hxxp[:]//91.92.242.30/6wioz8285kcbax6v

hxxp[:]//91.92.242.30/1v07y9e1m6v7thl6

hxxp[:]//91.92.242.30/q0c7ew2ro8l2cfqp

hxxp[:]//91.92.242.30/dyrtvwjfveyxjf23

hxxps[:]//rentry.co/openclaw-core

hxxps[:]//glot.io/snippets/hfdxv8uyaf

hxxp[:]//92.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//95.92.242.30/7buu24ly8m1tn8m4

hxxps[:]//install.app-distribution.net/setup/

hxxp[:]//11.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//202.161.50.59/7buu24ly8m1tn8m4

hxxp[:]//96.92.242.30/7buu24ly8m1tn8m4

hxxps[:]//glot.io/snippets/hfd3x9ueu5

IP

91.92.242.30

104.18.38.233

95.92.242.30

54.91.154.110

92.92.242.30

11.92.242.30

202.161.50.59

96.92.242.30

file

filename: dyrtvwjfveyxjf23

SHA256: 30f97ae88f8861eeadeb54854d47078724e52e2ef36dd847180663b7f5763168

filename: 66hfqv0uye23dkt2

SHA256: 0e52566ccff4830e30ef45d2ad804eefba4ffe42062919398bf1334aab74dd65

filename: x5ki60w1ih838sp7

SHA256: 1e6d4b0538558429422b71d1f4d724c8ce31be92d299df33a8339e32316e2298

filename: dx2w5j5bka6qkwxi

SHA256: 998c38b430097479b015a68d9435dc5b98684119739572a4dff11e085881187e

filename: openclaw-agent.exe

SHA256: 17703b3d5e8e1fe69d6a6c78a240d8c84b32465fe62bed5610fb29335fe42283

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。

欢迎加入 Web3Caff 官方社群X(Twitter)账号Web3Caff Research X(Twitter)账号微信读者群微信公众号