Selon Awesome Agents, des chercheurs en sécurité ont découvert une attaque grave de la chaîne d'approvisionnement sur le marché de plugins ClawHub d'OpenClaw, avec 1 184 skills malveillants identifiés. Ces skills malveillants peuvent voler des clés SSH, des portefeuilles de cryptomonnaies, des mots de passe de navigateur et ouvrir des shells inversés. Les recherches montrent qu'un seul attaquant a téléchargé 677 paquets malveillants, représentant 57 % de tous les éléments malveillants. 36,8 % des skills sur ClawHub présentent au moins une vulnérabilité de sécurité, et plus de 135 000 instances OpenClaw exposées sont réparties dans 82 pays à travers le monde. Le skill malveillant le plus populaire, « What Would Elon Do », contient 9 vulnérabilités, dont 2 classées comme graves ; il a atteint la première place grâce à 4 000 téléchargements falsifiés. Ces skills malveillants utilisent principalement des techniques d'ingénierie sociale « ClickFix » et des attaques par injection de prompts pour cibler à la fois les utilisateurs et les agents IA. OpenClaw a collaboré avec VirusTotal pour analyser tous les skills et supprimer les listes malveillantes. Les experts en sécurité recommandent aux utilisateurs ayant utilisé des skills de ClawHub de changer tous leurs identifiants, de révoquer leurs clés API et de vérifier leurs paramètres de sécurité.
ClawHub Market infecté par 1 184 compétences malveillantes ciblant les clés SSH et les wallets crypto
TechFlowPartager
Résumé
Le marché ClawHub a été ciblé par 1 184 compétences malveillantes visant les clés SSH et les wallets crypto, selon TechFlow. Un attaquant a téléchargé 677 paquets malveillants, soit 57 % du total. Ces compétences utilisent l'ingénierie sociale et l'injection de prompts pour voler les mots de passe des navigateurs et activer des shells inversés. OpenClaw collabore avec VirusTotal pour leur suppression. Cet incident soulève des préoccupations liées à la CFT (Lutte contre le financement du terrorisme) dans les marchés de liquidité et crypto.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.