Вредоносные плагины OpenClaw нацелены на крипто-трейдеров, Bitget призывает к немедленной смене ключей

Bitget на этой неделе предупредил пользователей после того, как его команда безопасности обнаружила вредоносные плагины на ClawHub, сообществе-репозитории для AI-ассистента OpenClaw. Биржа заявила, что эти записи маскировались под полезные «навыки», но в нескольких случаях побуждали людей вставлять команды в терминал или скачивать утилиты, которые тихо устанавливают вредоносное ПО, предназначенное для кражи учетных данных, API-ключей и данных кошельков.

Механизм прост и эффективен. Навык проводит пользователя через короткую настройку и просит выполнить одну зашифрованную команду; эта команда загружает и выполняет удалённый скрипт, который затем ищет в системе сессии браузеров, сохранённые ключи и другие секреты. В ряде случаев вредоносный навык кратковременно появлялся на главной странице ClawHub, увеличивая вероятность того, что непрофессиональные пользователи последуют инструкциям, не осознавая риска.

Команды безопасности, которые сканируют рынок, отмечают тревожный масштаб проблемы. Аудиты тысяч навыков выявили более трёхсот записей с вредоносным поведением, многие из которых содержали вредоносные компоненты, такие как вариации Atomic Stealer и связанные с ними трояны. Эти выводы сформировали картину о скоординированной кампании по отравлению цепочки поставок, а не о случайных ошибках при загрузке.

От удобства к компрометации

Аналитики отмечают, что злоумышленники сильно полагались на социальную инженерию, публикуя навыки, выдаваемые за помощники по криптотрейдингу или утилиты для кошельков, и инструктируя пользователей выполнять рутинные шаги настройки. В нескольких случаях навыки, загруженные за короткий промежуток времени, вводили пользователей в заблуждение, имитируя легитимные инструменты, что способствовало распространению вредоносного ПО до тех пор, пока защитники не удалили эти записи.

Часть проблемы — мощность платформы. OpenClaw работает локально и может легитимно выполнять shell-команды, читать файлы и взаимодействовать с сетями от имени пользователя; эта возможность делает возможными полезные автоматизации, но также даёт вредоносному навыку прямой доступ к чувствительным данным. Проект OpenClaw и несколько поставщиков безопасности начали внедрять автоматическое сканирование, включая проверки VirusTotal и блокировку подозрительных пакетов, однако исследователи считают, что автоматические проверки должны сочетаться с более строгим человеческим контролем, более жёсткими правилами публикации и ясными предупреждениями для конечных пользователей.

Для трейдеров и бирж сообщение является немедленным и практическим. Bitget посоветовал клиентам прекратить использование сторонних инструментов, плагинов или ботов для подключения к торговым аккаунтам и использовать только официальное приложение или сайт для внесения депозитов, снятий и торговли. Биржа также призвала всех, кто авторизовал API-ключи для плагинов, отозвать их, сменить пароли и включить двухфакторную аутентификацию, чтобы снизить риск взлома аккаунта.

Этот инцидент напоминает, что удобство и поверхность атаки часто растут вместе. Агентоподобный ИИ может автоматизировать утомительные задачи и повышать продуктивность, но экосистемы сообщества, допускающие непроверенный код, создают привлекательные возможности для злоумышленников. Пока рынки не внедрят более строгие процедуры проверки, а платформы не построят более надёжные системы защиты, пользователи должны рассматривать сторонние навыки как ненадёжный код, отказываться запускать незнакомые команды в терминале, регулярно менять API-ключи и изолировать операции с кошельками на хорошо защищённых устройствах. Эти привычки остаются лучшей краткосрочной защитой, пока экосистема не адаптируется.