Eine neue Welle von Supply-Chain-Angriffen sorgt für Aufregung im AI-Agenten-Ökosystem von OpenClaw. Hacker nutzen schwache Kontrollmechanismen in der Plugin-Plattform ClawHub aus, um hunderte bösartige Skripte zu verbreiten. Die Angriffe sind raffiniert: Harmlos wirkende Installationsanleitungen entpuppen sich als Einstiegspunkte für den Diebstahl von Passwörtern, Dokumenten und anderen sensiblen Daten.
Schadcode in SKILL.md-Dateien versteckt
Während Nutzer glauben, ein praktisches Tool zu installieren, läuft im Hintergrund ein ganz anderes Skript. In sogenannten SKILL.md-Dateien, die eigentlich nur als Anleitung dienen sollen, verstecken Angreifer Befehle, die auf den ersten Blick wie Installationsanweisungen aussehen. Hinter einem Stück Base64-Code verbirgt sich jedoch häufig ein Befehl, der Schadsoftware nachlädt und ausführt.
Ein Beispiel ist das populäre Plugin „X (Twitter) Trends“. Es wirkt legitim, lädt jedoch heimlich eine Hintertür, die Nutzerdaten stiehlt und an einen Command-and-Control-Server übermittelt. Betroffene Endpunkte sind unter anderem socifiapp.com und die IP-Adresse 91.92.242.30.
Organisierter Angriff mit wiederverwendbarer Infrastruktur
Laut der Sicherheitsfirma Koi Security wurden bislang 341 von insgesamt 2.857 untersuchten Skills als schädlich identifiziert. Der Angriff scheint gut organisiert zu sein: Viele der bösartigen Plugins nutzen dieselben Domains, Skripte und IP-Adressen. Die Angreifer setzen dabei auf eine zweistufige Methode: Zunächst wird ein harmloses Skript geladen, das anschließend eine gefährlichere Payload von einem externen Server nachzieht. So lassen sich Updates schnell einspielen, ohne das ursprüngliche SKILL.md-File zu verändern.
Die nachgeladene Software durchsucht im Hintergrund Systemverzeichnisse, sammelt Dokumente vom Desktop oder Download-Ordner und täuscht eine Passwortabfrage vor, um an Zugangsdaten zu gelangen. Die gestohlenen Daten werden in ZIP-Dateien gepackt und direkt an den Angreifer gesendet.
MistEye warnt und überwacht
Das Sicherheitsunternehmen SlowMist reagierte schnell mit seinem Überwachungssystem MistEye, das bereits hunderte verdächtige Skills erkannt hat. Aktuell wurden 472 verdächtige Plugins identifiziert. Das System überwacht neue Varianten in Echtzeit und verschickt automatische Warnungen an seine Kunden. Diese Entwicklungen stehen im Einklang mit den jüngsten Sicherheitsinitiativen der Ethereum Foundation.
Nutzer sollten niemals blind Installationsbefehle aus Markdown-Dateien kopieren und stets wachsam sein, wenn Skripte nach Systemzugriff oder Passwörtern fragen. Dieser Angriff zeigt, wie leicht Supply-Chain-Bedrohungen Einzug halten können, wenn externe Plugins nicht streng geprüft werden.
20% Cashback mit der Bybit Card, bis zu 40 $ Bonus und 10% Rabatt auf Gebühren
Bybit EU hat seine Bybit Card in Europa eingeführt, mit der Sie in mehr als 90 Millionen Geschäften mit Krypto bezahlen können, inklusive 10% Cashback. Zur Feier des Launches gibt es eine spezielle Aktion:
- 20% Cashback auf alle Einkäufe bis zu 200 $ mit der Bybit Crypto Card (mehr Informationen und Bedingungen)
- 10% Rabatt auf die Handelsgebühren (30 Tage gültig, sichtbar während der Registrierung)
- Bis zu 40 $ Bonus nach einer Einzahlung von 400 $ (mehr Informationen und Bedingungen)
Alle oben genannten Boni sind diesen Monat gleichzeitig gültig.
Bybit verfügt über eine MiCAR-Lizenz und darf offiziell in Europa unter den neuen Regelungen operieren.
Um den 40-$-Bonus zu erhalten, ist eine Mindesteinzahlung von 400 $ erforderlich. Bei einer Einzahlung von mindestens 100 $ erhalten Sie 20 $ (etwa 18,50 €). Alle Nutzer erhalten den 10% Rabatt auf die Handelsgebühren (gültig für 30 Tage). Das 20% Cashback mit der Bybit Card muss vorher aktiviert werden.
Bybit hat weltweit mehr als 70 Millionen Nutzer und über 2 Millionen Bybit-Card-Nutzer. Registrieren Sie ein Konto über den untenstehenden Button und profitieren Sie vom Willkommensbonus. Die Bedingungen finden Sie auf der Aktionsseite.