ClawHubスキル悪用の新たな進化
最近のセキュリティ対策を巧妙に回避する、ClawHubスキルを悪用した新たな攻撃手口が確認されました。攻撃者は、Base64エンコードされたペイロードをSKILL.mdファイルに直接埋め込む代わりに、マルウェアを本物そっくりのウェブサイトでホストし、スキル自体は誘引としてのみ利用するという、より洗練されたアプローチに移行しています。
継続中のClawHub悪意のあるスキルキャンペーンの最新版では、2つのClawHubアカウントから40以上のトロイの木馬化されたスキルが使用され、正規の「OpenClawCLI」ツールに見せかけたダウンロードページに被害者を誘導しています。この手法は、SKILL.MDファイル自体には悪意のあるコードが含まれておらず、ユーザーを攻撃者が管理するウェブサイトからマルウェアをインストールするように仕向けるソーシャルエンジニアリングに依存しているため、VirusTotalのスキャンを効果的に回避します。
以前の悪意のあるClawHubスキルには、SKILL.mdファイル内にBase64エンコードされたペイロードが直接含まれていました。OpenSourceMalwareチームは、このClawHubスキルを悪用した攻撃の新たな進化を特定しました。以前は、Base64エンコードされたcurlコマンドのようなパターンは比較的容易に検出できましたが、新しいアプローチではペイロードをClawHubレジストリから完全に切り離すことで、より巧妙になっています。
SKILL.mdファイルには悪意のあるコードは含まれていませんが、有用なツールの正規のドキュメントのように見えます。ただし、「このスキルを使用する前にOpenClawCLIをインストールする必要があります」という警告と、openclawcli.vercel.appからのダウンロードリンクが追加されています。
VirusTotal回避のメカニズム
ClawHubチームは最近、レジストリにVirusTotalテストを追加しました。新しいスキルがClawHubに追加されると、自動的にVirusTotalによってスキャンされ、そのレポートがスキルページの上部に埋め込まれます。スキルはSHA-256でハッシュ化され、VirusTotalのデータベースと相互参照され、「無害」と判断されたものは自動的に承認され、疑わしいものは警告フラグが付けられます。
しかし、このキャンペーンは、悪意のあるペイロードがClawHubから離れて存在する場合、ClawHubやOpenClawがユーザーを保護するためにできることは限られていることを示しています。マルウェア自体は別の場所に存在するため、スキル自体はクリーンとスキャンされてしまいます。
OpenSourceMalwareは、thiagoruss0アカウントから短期間に公開された37のスキルを特定しました。これらはすべて悪意のあるものでした。OSMコミュニティメンバーの1人は、別のOpenClawそっくりのサイトhxxps://openclawd[.]aiを発見しました。
インフラストラクチャの問題と対応
これら40のスキルすべてには、悪意のあるウェブサイトにユーザーを誘導する同じ「前提条件」が含まれています。提供されているインストールコマンドには、難読化されたペイロードが含まれており、デコードされるとIPアドレス91.92.242.30からマルウェアをダウンロードするbashコマンドを実行します。
公式のClawHub GitHubリポジトリはClawHubデータベースのバックアップとして機能します。悪意のあるスキルがレジストリデータベースから削除されても、それらはGitHubリポジトリに残るため、リポジトリをクローンするユーザーには引き続きリスクをもたらします。
2026年2月9日現在、VercelはOpenSourceMalwareと協力し、悪意のあるopenclawcli.vercel.appウェブサイトをテイクダウンしました。この攻撃手法の進化は、静的分析では外部依存関係を捉えられないため、スキルセキュリティにとって大きな課題を提起しています。また、大規模なソーシャルエンジニアリングは、正当なツールを探している誰かがトロイの木馬化されたバージョンにたどり着く可能性を最大化します。