«Просто скачай архив». Теперь ИИ-боты разводят даже опытных пользователей

Популярный ИИ-помощник ClawdBot неожиданно оказался в центре вредоносной кампании. Специалисты обнаружили сотни подключаемых модулей, которые маскируются под инструменты для криптотрейдинга, а на деле заражают компьютеры и крадут ключи от криптокошельков и учётные данные.

Речь идёт о модулях для ClawdBot, который работает локально на устройстве пользователя и управляется через обычные мессенджеры. Платформа быстро набрала популярность, но, как выяснилось, проверка безопасности подключаемых модулей там практически отсутствует. Этим и воспользовались злоумышленники.

По данным OpenSourceMalware, с 27 января по 1 февраля было опубликовано более 230 вредоносных модулей в официальном реестре ClawHub и на GitHub. Сначала появилось около 30 подозрительных пакетов, затем добавилось ещё свыше 200. Большинство из них выдавали себя за ботов и помощников для торговли криптовалютой и работы с биржами ByBit, Polymarket, Axiom, а также сервисами Reddit и LinkedIn.

В описании таких модулей размещалась подробная документация, оформленная как легитимный проект. Внутри были настойчивые предупреждения о необходимости установить дополнительный «инструмент авторизации». Пользователю предлагали скачать архив и запустить программу или выполнить команду в терминале. После этого на систему загружался вредоносный файл.

Атака рассчитана на macOS и Windows. На компьютерах Apple пользователю предлагали выполнить команду, которая загружает и запускает скрытый скрипт с удалённого сервера. В одном из вариантов дополнительно снимались системные ограничения безопасности для запуска файла. На Windows жертве предлагали скачать архив с паролем и запустить исполняемый файл.

Анализ показал, что используется вредонос семейства стилеров. Он собирает ключи API криптобирж, приватные ключи кошельков, сид-фразы, данные расширений браузера, сохранённые пароли, ключи SSH, учётные данные облачных сервисов и другие секреты. Образцы связывают с новой версией вредоносной программы NovaStealer. Все модули обращаются к одному и тому же управляющему серверу.

Кроме того, один из авторов разместил десятки почти одинаковых модулей с разными названиями, чтобы увеличить охват. Такие пакеты успели набрать тысячи загрузок. Часть учётных записей разработчиков позже была удалена, но многие вредоносные модули на момент проверки оставались доступными в официальном репозитории.

Авторы отчета сообщили о проблеме администраторам ClawHub и создателю ClawdBot. В ответ было заявлено, что обеспечить полноценную проверку безопасности всех модулей сейчас невозможно.

Специалисты советуют пользователям не запускать команды из описаний модулей, не устанавливать дополнительные исполняемые файлы «для авторизации» и особенно настороженно относиться к архивам с паролем и инструкциям с закодированными командами. Для экосистемы модулей искусственного интеллекта это один из первых крупных примеров атаки через цепочку поставок, построенной исключительно на социальной инженерии и доверии пользователей.