หน้าแรก
ข่าวสาร
รายละเอียด

SlowMist รายงานการโจมตีการปนเปื้อนห่วงโซ่อุปทานในวงกว้างของ OpenClaw's ClawHub

iconKuCoinFlash
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconสรุป

expand icon
SlowMist ได้รายงานการโจมตีการปนเปื้อนห่วงโซ่อุปทานในระดับใหญ่ของ ClawHub ศูนย์ปลั๊กอินของ OpenClaw พบทั้งหมด 341 ทักษะที่เป็นอันตราย ซึ่งมักแฝงตัวเป็นสินทรัพย์ดิจิทัลหรือเครื่องมืออัตโนมัติ ผู้โจมตีใช้การเข้ารหัส Base64 ในไฟล์ SKILL.md และใช้กลไกการโหลดสองขั้นตอน ขั้นตอนที่สองประกอบด้วยตัวอย่างชื่อ dyrtvwjfveyxjf23 เพื่อขโมยรหัสผ่านและเอกสาร MistEye ระบุทักษะที่เป็นอันตราย 472 รายการ ผู้ค้าควรประเมินอัตราส่วนความเสี่ยงต่อผลตอบแทนก่อนที่จะดำเนินการคำสั่ง ควรใช้ช่องทางทางการและตรวจสอบสัญญาณการซื้อขายบนบล็อกเชนเพื่อหลีกเลี่ยงการเปิดเผยข้อมูล

Odaily Planet Daily News รายงานตามการตรวจสอบของ SlowMist ว่า ศูนย์ปลั๊กอินทางการของโครงการตัวแทน AI โอเพนซอร์ส OpenClaw ที่ชื่อว่า ClawHub กำลังกลายเป็นเป้าหมายของการโจมตีการปนเปื้อนห่วงโซ่อุปทาน เนื่องจากแพลตฟอร์มขาดกลไกการตรวจสอบที่เข้มงวด ทักษะ (Skills) ที่เป็นอันตรายจำนวนมากได้แทรกซึมเข้ามาเพื่อเผยแพร่โค้ดที่เป็นอันตราย การตรวจสอบแสดงให้เห็นว่ามีทักษะที่เป็นอันตราย 341 ทักษะถูกตรวจพบแล้ว ทักษะเหล่านี้มักแฝงตัวเป็นสินทรัพย์ดิจิทัล การตรวจสอบความปลอดภัย หรือเครื่องมืออัตโนมัติ

ทีมงานด้านความปลอดภัยของ SlowMist พบจากการวิเคราะห์ว่า ผู้โจมตีใช้ไฟล์ SKILL.md เป็นจุดเข้าสู่การดำเนินคำสั่ง โดยใช้การเข้ารหัส Base64 ซ่อนคำสั่งที่เป็นอันตราย และใช้กลไกการโหลดแบบสองขั้นตอนเพื่อหลบเลี่ยงการตรวจจับ ขั้นตอนแรกใช้ curl เพื่อดึงเอา payload และขั้นตอนที่สองจะติดตั้งตัวอย่างที่มีชื่อว่า dyrtvwjfveyxjf23 ซึ่งมีจุดประสงค์หลอกล่อให้ผู้ใช้ป้อนรหัสผ่านระบบและขโมยเอกสารและข้อมูลระบบในท้องถิ่น

ในปัจจุบัน MistEye ระบบได้เปิดใช้งานการแจ้งเตือนความเสี่ยงสูง ครอบคลุม 472 ทักษะที่เป็นอันตรายและตัวชี้วัดที่เกี่ยวข้อง SlowMist แนะนำให้ผู้ใช้ตรวจสอบคำสั่งใด ๆ ที่ต้องคัดลอกเพื่อทำงาน ระมัดระวังคำขอที่ต้องการสิทธิ์การเข้าถึงระบบ และให้ความสำคัญกับการรับเครื่องมือผ่านช่องทางทางการ

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา