Các cuộc tấn công chuỗi cung ứng liên tiếp xảy ra trên ClawHub, mở ra những mối đe dọa mới đối với người dùng OpenClaw

Theo báo cáo của Foresight News, nền tảng plugin chính thức của OpenClaw là ClawHub đang phải đối mặt với cuộc tấn công chuỗi cung ứng nghiêm trọng. Thiếu sót trong hệ thống xác thực của nền tảng này đã dẫn đến việc nhiều kỹ năng độc hại xâm nhập, gây nguy hiểm cho hệ thống của người dùng. Cho đến nay, đã xác định hơn 341 kỹ năng độc hại, trong đó nhiều giả dạng ví tiền điện tử, công cụ bảo mật hoặc script tự động hóa.

ClawHub bị xâm nhập bởi kỹ năng độc hại — Tình hình tấn công chuỗi cung ứng

Những kẻ tấn công lợi dụng tệp SKILL.md làm điểm vào để thực thi lệnh trên hệ thống. Các phương pháp phức tạp nhằm tránh phát hiện đã được sử dụng, trong đó các chỉ thị độc hại được che giấu bằng mã hóa Base64. Cuộc tấn công chuỗi cung ứng này được thiết kế để dễ dàng tiến triển mà người dùng không nhận biết, và nếu không có các biện pháp phòng thủ, thiệt hại sẽ dễ dàng mở rộng.

Cơ chế tấn công hai lớp — Tránh phát hiện và phân phối payload

Cuộc tấn công sử dụng cơ chế tải hai giai đoạn cao cấp. Giai đoạn đầu, payload được bí mật tải xuống qua lệnh curl, còn giai đoạn hai, mẫu có tên dyrtvwjfveyxjf23 sẽ được thực thi. Mẫu này lừa người dùng nhập mật khẩu hệ thống, đồng thời trộm dữ liệu từ tài liệu cục bộ và thông tin hệ thống. Đây là phương thức tấn công chuỗi cung ứng điển hình, có thể đe dọa không chỉ từng người dùng mà còn toàn bộ an ninh của tổ chức.

Người dùng cần tự phòng vệ — Cảnh báo của SlowMist và các biện pháp đề xuất

Công ty an ninh mạng SlowMist đã đưa ra nhiều cảnh báo quan trọng cho người dùng. Trước tiên, cần kiểm tra kỹ nội dung của lệnh trước khi sao chép và thực thi. Đặc biệt chú ý khi xuất hiện yêu cầu quyền hệ thống. Ngoài ra, plugin hoặc công cụ chỉ nên lấy từ các kênh chính thức, tránh tải xuống từ các liên kết của bên thứ ba. Để đối phó với các cuộc tấn công chuỗi cung ứng trong tương lai, người dùng nên sử dụng các công cụ bảo mật đáng tin cậy và định kỳ quét hệ thống.