Bösartige OpenClaw-Plugins zielen auf Krypto-Händler ab, Bitget fordert sofortige Schlüsselzurücksetzungen

Bitget warnte diese Woche die Nutzer, nachdem das Sicherheitsteam des Unternehmens schädliche Plugins auf ClawHub entdeckt hatte, dem Community-Repository für den KI-Assistenten OpenClaw. Die Börse erklärte, die Einträge seien als hilfreiche „Skills“ getarnt gewesen, doch in mehreren Fällen wurden die Nutzer dazu verleitet, Terminalbefehle einzufügen oder Utilities herunterzuladen, die im Hintergrund Malware installierten, um Kontozugänge, API-Schlüssel und Wallet-Daten zu stehlen.

Die Funktionsweise ist einfach und effektiv. Ein Skill führt den Nutzer durch eine kurze Einrichtung und fordert ihn auf, einen einzigen verschlüsselten Befehl auszuführen; dieser Befehl lädt ein Remote-Skript herunter und führt es aus, das dann den Rechner nach Browser-Sitzungen, gespeicherten Schlüsseln und anderen Geheimnissen durchsucht. In mehreren gemeldeten Fällen tauchte ein schädlicher Skill kurzzeitig auf der Startseite von ClawHub auf, was die Wahrscheinlichkeit erhöhte, dass unerfahrene Nutzer Anweisungen befolgten, ohne das Risiko zu erkennen.

Sicherheits-Teams, die den Marktplatz überwachen, berichten von alarmierenden Ausmaßen. Audits von Tausenden von Skills ergaben, dass deutlich über dreihundert Einträge sich bösartig verhielten, wobei viele Informationen stehlende Payloads wie Varianten des Atomic Stealer und verwandte Trojaner lieferten. Diese Erkenntnisse deuten darauf hin, dass es sich bei dem Vorfall um eine koordinierte Kampagne zur Vergiftung der Lieferkette handelt, anstatt um eine Reihe zufälliger fehlerhafter Uploads.

Vom Komfort zur Gefährdung

Analysten zufolge stützten sich die Angreifer stark auf Social Engineering, indem sie Skills veröffentlichten, die sich als Krypto-Handelshelfer oder Wallet-Utilities ausgaben und die Nutzer anleiteten, Setup-Schritte auszuführen, die routinemäßig erschienen. In mehreren Fällen täuschten die hochgeladenen Skills die Nutzer, indem sie legitime Tools nachahmten – eine Technik, die die Verbreitung der Malware erleichterte, bevor die Verteidiger die Einträge entfernten.

Ein Teil des Problems ist die Macht der Plattform. OpenClaw läuft lokal und kann legitimerweise Shell-Befehle ausführen, Dateien lesen und mit Netzwerken interagieren – im Auftrag des Nutzers; diese Fähigkeit ermöglicht nützliche Automatisierungen, bietet aber auch bösartigen Skills direkten Zugriff auf sensible Daten. Das OpenClaw-Projekt und mehrere Sicherheitsanbieter haben begonnen, automatisierte Scans durchzuführen, darunter VirusTotal-Checks und das Blockieren verdächtiger Bundles. Forscher betonen jedoch, dass automatisierte Prüfungen mit stärkeren menschlichen Überprüfungen, strengeren Veröffentlichungsregeln und klareren Warnhinweisen für Endnutzer kombiniert werden müssen.

Für Händler und Börsen ist die Botschaft klar und praktisch. Bitget forderte die Kunden auf, die Nutzung von Tools, Plugins oder Bots von Drittanbietern zur Verbindung mit Handelskonten einzustellen und ausschließlich die offizielle App oder Website für Ein- und Auszahlungen sowie den Handel zu verwenden. Zudem wurde geraten, API-Schlüssel, die für Plugins autorisiert wurden, zu widerrufen, Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu aktivieren, um das Risiko eines Kontohacks zu minimieren.

Der Vorfall erinnert daran, dass Bequemlichkeit und Angriffsfläche oft Hand in Hand gehen. KI-Agenten können mühsame Aufgaben automatisieren und die Produktivität steigern, doch Community-Ökosysteme, die unüberprüften Code zulassen, schaffen attraktive Angriffswege. Solange Marktplätze keine stärkere Überprüfung einführen und Plattformen keine robusteren Schutzmaßnahmen entwickeln, sollten Nutzer Drittanbieter-Skills als unzuverlässigen Code behandeln, unbekannte Terminalbefehle ablehnen, API-Schlüssel regelmäßig rotieren und Wallet-Operationen auf gut geschützten Geräten isolieren. Diese Gewohnheiten bleiben die beste kurzfristige Verteidigung, während das Ökosystem aufholt.