概要
悪意のあるOpenClawの戦略は、ユーザーを手動でパスワードを入力させるように仕向け、新しいAtomic (AMOS) Stealerの感染チェーンを可能にしています。この新たな攻撃では、AIエージェントワークフローがソーシャルエンジニアリングチャネルとして悪用されています。
背景
TrendAI™リサーチは、Atomic (AMOS) Stealerの進化を追跡し、macOSソフトウェアの「クラック版」から洗練されたサプライチェーン攻撃への変遷を確認しています。この最新の波では、脅威アクターがSKILL.mdファイル内に悪意のある指示を隠し、AIエージェントを信頼できる仲介者として利用します。
感染フロー
攻撃は、OpenClawCLIの依存関係を持つと偽装されたSKILL.mdファイルから始まります。このファイルは、悪意のあるスクリプトをダウンロードし実行するようエージェントに指示します。
感染チェーン
- 初期段階: SKILL.mdファイルがOpenClawCLIの依存関係を宣言し、偽装された配布サイトからダウンロードするようエージェントに指示。
- 中間段階: OpenClawはBase64エンコードされたシェルコマンドを取得し、curlを使用して遠隔スクリプトをダウンロードおよび実行します。
- 最終段階: ユーザーにパスワード入力を要求する偽のダイアログボックスが表示され、AMOS Stealerはユーザーの資格情報と機密データへの直接アクセスを得ます。
攻撃の詳細
このAMOS変種は、AppleやKeePassキーチェーン、Apple Notes、およびデスクトップ、ドキュメント、ダウンロードフォルダからの幅広い文書を標的にします。収集されたアートifactsはZIPアーカイブに圧縮され、HTTPS POSTリクエストを使用してコマンド&コントロールサーバー(socifiapp[.]com)に送信されます。
対策
TrendAI™は、マルウェアの検出と対応を強化するために、エンドポイント、ネットワーク、およびクラウドのテレメトリを使用してAMOS感染チェーン全体を再構築します。また、マーケットプレースの審査、エージェント用のコンテナ化実行環境、および行動検出を組み合わせることで、同様の攻撃に対する対策を強化しています。
結論
このOpenClawの事例は、AIエージェントエコシステムが高影響度のサプライチェーンターゲットとなり得ることを示しています。未審査スキルが任意のコードを実行し、機密な人間のアクションを仲介する可能性があるため、防御者は手動レビューに頼るのではなく、マルウェア対策を強化することが重要です。