Gate News 消息,3 月 13 日,慢雾科技首席信息安全官 23pds 發布安全預警,提醒 ClawHub 開發者注意釣魚和憑證洩露風險。目前 ClawHub 依賴開發者 GitHub 一鍵登入,此前 Sha1-Hulud 蠕蟲曾竊取大量開發者的 GitHub 憑證,攻擊者可能會伺機攻擊 Skills。攻擊路徑為:憑證竊取 → 攻擊者獲取 GitHub 權限 → 以開發者身份登入 ClawHub → 發布惡意 Skills 植入後門 → 用戶下載安裝後執行惡意程式導致系統入侵。
