La habilidad maliciosa OpenClaw DeepSeek explota flujos de trabajo de IA agentes para ofrecer RAT y Stealer

Una campaña de malware inteligentemente disfrazada está dirigida a desarrolladores y sistemas impulsados ​​por IA, escondiéndose dentro de lo que parece un complemento legítimo para un marco de IA de código abierto. El malware, distribuido a través de una habilidad falsa "DeepSeek-Claw" para el marco OpenClaw, tiene dos objetivos principales: obtener control remoto sobre las máquinas infectadas y robar datos confidenciales.

Su análisis reveló que el actor de amenazas publicó la habilidad engañosa en GitHub, sabiendo que los agentes y desarrolladores de IA probablemente la incluirían en flujos de trabajo automatizados sin pensarlo dos veces. Cómo se desarrolla el ataque de habilidades OpenClaw El marco OpenClaw, anteriormente conocido como Clawdbot y Moltbot, es una herramienta de código abierto creada para permitir que los agentes de IA lleven a cabo tareas complejas y con altos privilegios en sistemas locales. Contenido del archivo de marcado de habilidades de OpenClaw que muestra los comandos que instalan Remcos RAT (Fuente: Zscaler) Ese instalador colocó dos archivos en el sistema: un ejecutable GoToMeeting genuino y firmado digitalmente y una DLL maliciosa disfrazada de su dependencia. Luego, la DLL maliciosa parcheó las herramientas clave de seguridad de Windows en la memoria para cegarlas antes de descifrarlas e iniciar Remcos RAT, que abrió un canal cifrado de regreso al atacante.

Contenido del archivo de marcado de habilidades de OpenClaw que muestra comandos que instalan GhostLoader (Fuente: Zscaler) En macOS y Linux, el malware también mostraba solicitudes de contraseñas falsas para engañar a los usuarios para que entregaran sus credenciales directamente. La publicación La habilidad maliciosa OpenClaw DeepSeek explota flujos de trabajo de IA agentes para entregar RAT y Stealer apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗