Bing AI продвигал поддельный GitHub-репозиторий OpenClaw с инфостилером

Фальшивые установщики OpenClaw, размещенные в репозиториях GitHub и продвигаемые функцией поиска Microsoft Bing с поддержкой ИИ, предлагали пользователям выполнить команды, которые на самом деле разворачивали инфостилеры и вредоносное ПО.

OpenClaw — это ИИ-агент с открытым исходным кодом, получивший популярность как персональный помощник, способный выполнять различные задачи. Он имеет доступ к локальным файлам и может интегрироваться с электронной почтой, мессенджерами и онлайн-сервисами.

Из-за широкого доступа к локальной системе злоумышленники увидели возможность для сбора конфиденциальной информации, публикуя вредоносные скиллы («skills», файлы инструкций) в официальном реестре инструмента и на GitHub.

Исследователи компании Huntress, специализирующейся на управляемом обнаружении и реагировании на угрозы, в прошлом месяце обнаружили новую кампанию, в рамках которой пользователям, пытавшимся установить OpenClaw, распространялись несколько исполняемых файлов загрузчиков вредоносного ПО и инфостилеров.

По словам исследователей, злоумышленник создал вредоносные репозитории на GitHub, выдавая их за установщики OpenClaw. Эти страницы рекомендовались поисковой системой Microsoft Bing в результатах поиска с поддержкой ИИ для версии инструмента под Windows.

Вредоносная выдача в результатах поиска Bing AI. Источник: Huntress.

По словам исследователей из Huntress, предложенная Microsoft Bing ссылка для скачивания на изображении выше указывала на вредоносный установщик OpenClaw, размещенный на GitHub. При этом самого факта размещения вредоносного ПО на GitHub оказалось достаточно, чтобы повлиять на результаты поиска Bing AI.

Поддельный репозиторий OpenClaw на первый взгляд выглядел легитимно: злоумышленник привязал его к организации GitHub под названием openclaw-installer. Это также могло сыграть роль в том, что Bing AI рекомендовал этот репозиторий.

Аккаунты GitHub, публиковавшие эти репозитории, были созданы недавно, однако злоумышленники попытались повысить их правдоподобность, скопировав настоящий код из проекта moltworker компании Cloudflare.

Пример вредоносного репозитория на GitHub. Источник: Huntress.

Однако в репозитории также находилось руководство по установке OpenClaw на macOS, в котором пользователю предлагалось вставить команду bash в терминал. Эта команда обращалась к отдельной организации на GitHub под названием puppeteerrr и к репозиторию с именем dmg.

Инструкции по установке зараженного OpenClaw для пользователей macOS. Источник: Huntress.

Исследователи сообщают:

В репозитории находилось несколько файлов, объединенных общей схемой: shell-скрипт сопровождался исполняемым файлом формата Mach-O.

Этот исполняемый файл специалисты идентифицировали как вредоносное ПО Atomic Stealer.

Для пользователей Windows злоумышленник использовал поддельные репозитории для распространения файла OpenClaw_x64.exe, который разворачивал несколько вредоносных исполняемых файлов. По данным исследователей из Huntress, решения Managed AV и Managed Defender for Endpoint на машине клиента, которую они анализировали, поместили эти файлы в карантин.

Большинство исполняемых файлов представляли собой загрузчики вредоносного ПО, написанные на языке Rust, которые запускали инфостилеры непосредственно в памяти. Одной из полезных нагрузок был инфостилер Vidar, который обращался к профилям пользователей в Telegram и Steam для получения данных командно-контрольного сервера (C2).

Еще одним исполняемым файлом для Windows было вредоносное ПО GhostSocks — backconnect-прокси, предназначенный для превращения компьютеров пользователей в прокси-узлы.

Злоумышленник может использовать такую систему для доступа к учетным записям с учетными данными, украденными с зараженного устройства, тем самым обходя проверки антифрод. Прокси-узлы также применяются для маршрутизации вредоносного трафика или для сокрытия следов во время атак.

В ходе расследования исследователи выявили несколько аккаунтов и репозиториев на GitHub, использовавшихся в рамках одной и той же кампании, распространявшей вредоносное ПО среди пользователей, пытавшихся скачать установщики OpenClaw.

Все вредоносные репозитории были отправлены на проверку в GitHub, однако на данный момент неизвестно, были ли они уже удалены.

Официальный репозиторий OpenClaw на GitHub доступен по ссылке. Пользователям рекомендуется сохранять в закладки официальные страницы программ, которыми они пользуются, вместо того чтобы каждый раз искать их через интернет.