Auditoria revela cerca de 341 skills maliciosas no ClawHub que roubam dados de usuários do OpenClaw

Uma auditoria de segurança realizada em 2.857 skills disponíveis no ClawHub revelou que pelo menos 341 delas são maliciosas, expondo usuários do OpenClaw a novos e sofisticados riscos de cadeia de suprimentos. A análise foi conduzida pela empresa Koi Security e identificou múltiplas campanhas ativas voltadas à distribuição de malware por meio de extensões aparentemente legítimas.

O ClawHub funciona como um marketplace para facilitar a instalação de skills de terceiros no OpenClaw, um assistente de inteligência artificial auto-hospedado que vem ganhando popularidade rapidamente. Segundo os pesquisadores, 335 dessas skills utilizavam pré-requisitos falsos para induzir usuários à instalação do Atomic Stealer (AMOS), um malware focado em roubo de informações no macOS. A campanha recebeu o codinome ClawHavoc.

As skills maliciosas se passavam por ferramentas legítimas como rastreadores de carteiras de criptomoedas, bots de trading, utilitários do YouTube e integrações com Google Workspace e apresentavam documentação profissional para ganhar a confiança das vítimas. No entanto, durante a instalação, os usuários eram instruídos a executar comandos externos. Em sistemas Windows, o processo envolvia o download de um arquivo ZIP hospedado no GitHub. Já no macOS, os usuários eram induzidos a copiar e executar scripts hospedados em serviços públicos, diretamente pelo Terminal.

Dentro desses arquivos, os pesquisadores encontraram trojans com funcionalidades de keylogger, capazes de capturar chaves de API, credenciais, senhas de navegador e outros dados sensíveis, incluindo informações já acessadas pelo próprio bot. Em alguns casos, as skills também continham backdoors do tipo reverse shell embutidos em códigos funcionais ou exfiltravam credenciais armazenadas em arquivos de configuração do OpenClaw para serviços externos.

Toda a infraestrutura maliciosa apontava para o mesmo servidor de comando e controle, indicando uma operação coordenada. O malware distribuído apresenta características compatíveis com o Atomic Stealer, um stealer comercializado em fóruns clandestinos por valores que variam entre US$ 500 e US$ 1.000 por mês, amplamente utilizado para roubo de dados em ambientes macOS.

O problema é agravado pelo modelo aberto do ClawHub, que permite o envio de skills por qualquer usuário com uma conta GitHub criada há mais de uma semana. Diante da gravidade do cenário, o criador do OpenClaw implementou recentemente um mecanismo de denúncia, permitindo que usuários reportem skills suspeitas. Extensões com mais de três denúncias distintas passam a ser ocultadas automaticamente da plataforma.

O caso reforça um alerta recorrente no ecossistema open source: plataformas abertas, quando combinadas com automação e inteligência artificial, tornam-se alvos atrativos para grupos hackers. Em relatório recente, a Palo Alto Networks classificou o OpenClaw como um exemplo da chamada “tríade letal” acesso a dados sensíveis, consumo de conteúdo não confiável e capacidade de comunicação externa fatores que ampliam drasticamente o impacto de ataques contra agentes de IA, especialmente quando combinados com memória persistente.