悪意のあるOpenClawの「スキル」がパスワード窃取マルウェアの拡散に利用されている

BleepingComputerによると、ローカルAIアシスタントOpenClawを標的とした悪意のある「スキル」（プラグイン）が、情報窃取型マルウェアの拡散に利用されているという。これらのパッケージは便利なツールのように見えるように設計されていたが、セットアップ手順によって、被害者は情報窃取型マルウェアをインストールするコマンドを実行するよう仕向けられていた。

これは、新しいエコシステムに適応した、よくあるサプライチェーンのストーリーです。自動化ツールがファイル、資格情報、ブラウザーに広くアクセスできる場合、そのプラグインレジストリは攻撃者にとって理想的な配布チャネルになります。

何が起こったのか（大まかに）

BleepingComputerの報告によると、プロジェクトの公式レジストリとGitHubでは、1週間足らずで230以上の悪意あるスキルが公開されました。中には、ランダムな名前が付けられたほぼ同一のクローンもあり、その一部が人気を博しました。

これらのスキルは、「便利な」ユーティリティ（暗号通貨やソーシャルメディア関連のツールを含む）を偽装していましたが、最終的には API キー、ウォレットシークレット、SSH 認証情報、ブラウザパスワードなどの機密データを盗むことを目的としていました。

「文書化」がいかにして悪用されるようになったか

このキャンペーンは、隠されたバイナリだけに頼るのではなく、ソーシャルエンジニアリングを活用しました。

BleepingComputerは、ドキュメントで参照されている別のツール「AuthTool」について説明しています。これは必須の依存関係として提示されていますが、実際にはマルウェア配信メカニズムとして機能していました。

これは、より広範な「ClickFix」パターンを反映しています。つまり、感染ではなくトラブルシューティング手順のように見えるため、被害者はコマンドを手動で実行するように説得されます。

AIアシスタントが異常に魅力的なターゲットである理由

ローカル AI アシスタントは、多くの場合、広範な権限を要求します (または付与されます)。

プロジェクトフォルダと構成ファイルの読み取り
ターミナルセッションへのアクセス
ブラウザとパスワードストアとの統合
開発者キーを使用してAPIと通信する

つまり、それらは「認証情報集中装置」なのです。一度感染に成功すると、大量の秘密情報が生成され、他の場所で再利用できるようになります。

リスクを軽減するための実践的なステップ

OpenClaw (またはプラグインエコシステムを備えた任意のツール) を使用する場合は、スキルを「プロンプト」ではなく、インストールするコードのように扱います。

審査済みのよく知られた出版社を優先します。新しいアカウント、ランダムな名前、複製された説明は危険信号です。
インストール手順を監査します。base64 blob を貼り付けたり curl|sh を実行したりすることを要求する手順は、悪意のあるものと想定する必要があります。
アシスタントをサンドボックス化します。最小限のファイルシステムアクセスで VM/コンテナ内で実行します。
API キーには最小限の権限を使用します。ツールごとにキーを分け、スコープを狭く保ち、定期的に回転させます。
送信接続を監視します。インストール/セットアップ中に予期しないドメインが発生する場合は疑わしいです。

悪意のあるスキルを実行した疑いがある場合は、資格情報の侵害を想定して、次の操作を実行します。

ブラウザのパスワード / パスワードマネージャーのトークン
SSHキー
クラウド資格情報
APIキーと「.env」シークレット

レジストリでできること（できないこと）

レジストリ運営者は、スキャン、レピュテーションシグナル、削除プロセスなどを追加できます。しかし、エコシステムが急速に成長している場合、ボリュームがレビューのペースを上回ってしまうことがあります。

つまり、安全ベースラインは依然としてユーザーの行動と展開衛生に依存します。

結論

OpenClawスキルキャンペーンは、「AIツールチェーン」が今やソフトウェアサプライチェーンの一部となっていることを警告するものです。プラグインがコードを実行したり、シークレットにアクセスしたりできる場合は、npmやPyPIからランダムにパッケージをインストールするのと同じ注意を払ってください。

出典

https://www.bleepingcomputer.com/news/security/malicious-moltbot-skills-used-to-push-password-stealing-malware/

Document Title
Malicious OpenClaw ‘skills’ are being used to spread password-stealing malware	悪意のあるOpenClawの「スキル」がパスワード窃取マルウェアの拡散に利用されている

BleepingComputer reports hundreds of malicious OpenClaw skills were posted to trick users into running malware droppers. Here’s how plugin ecosystems get abused, what the ‘AuthTool’ trick is, and how to reduce risk.	BleepingComputerによると、数百もの悪質なOpenClawスキルが投稿され、ユーザーを騙してマルウェアドロッパーを実行させているという。プラグインエコシステムがどのように悪用されるのか、「AuthTool」のトリックとは何か、そしてリスクを軽減する方法を解説する。
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	管理者によるすべての投稿を表示
A judge ruled the DOE climate working group was illegal—here’s why that matters	裁判官はエネルギー省の気候変動ワーキンググループが違法であると判決を下した。これがなぜ重要なのか
Intel’s Panther Lake laptop chips: why ‘Core Ultra Series 3’ is a reset	インテルのPanther LakeノートPCチップ：「Core Ultra Series 3」がリセットとなる理由
Page Content
Malicious OpenClaw ‘skills’ are being used to spread password-stealing malware	悪意のあるOpenClawの「スキル」がパスワード窃取マルウェアの拡散に利用されている
Nature
Climate
/
Technology
/ By
Admin
A wave of malicious “skills” (plug-ins) targeting the local AI assistant OpenClaw has been used to deliver information-stealing malware, according to BleepingComputer. The packages were designed to look like helpful tools, but their setup instructions pushed victims into running commands that installed stealers.	BleepingComputerによると、ローカルAIアシスタントOpenClawを標的とした悪意のある「スキル」（プラグイン）が、情報窃取型マルウェアの拡散に利用されているという。これらのパッケージは便利なツールのように見えるように設計されていたが、セットアップ手順によって、被害者は情報窃取型マルウェアをインストールするコマンドを実行するよう仕向けられていた。
This is the familiar supply-chain story, adapted to a new ecosystem: when an automation tool has broad access to files, credentials, and browsers, its plug-in registry becomes an attacker’s ideal distribution channel.	これは、新しいエコシステムに適応した、よくあるサプライチェーンのストーリーです。自動化ツールがファイル、資格情報、ブラウザーに広くアクセスできる場合、そのプラグインレジストリは攻撃者にとって理想的な配布チャネルになります。
What happened (in broad strokes)	何が起こったのか（大まかに）
BleepingComputer reports that more than 230 malicious skills were published in under a week across the project’s official registry and GitHub. Some were near-identical clones with randomized names, and a subset became popular.	BleepingComputerの報告によると、プロジェクトの公式レジストリとGitHubでは、1週間足らずで230以上の悪意あるスキルが公開されました。中には、ランダムな名前が付けられたほぼ同一のクローンもあり、その一部が人気を博しました。
The skills impersonated “useful” utilities (including crypto and social-media-related tools) but ultimately aimed to steal sensitive data such as API keys, wallet secrets, SSH credentials, and browser passwords.	これらのスキルは、「便利な」ユーティリティ（暗号通貨やソーシャルメディア関連のツールを含む）を偽装していましたが、最終的には API キー、ウォレットシークレット、SSH 認証情報、ブラウザパスワードなどの機密データを盗むことを目的としていました。
How the “documentation” became the exploit	「文書化」がいかにして悪用されるようになったか
Instead of relying only on a hidden binary, the campaign leaned on social engineering.	このキャンペーンは、隠されたバイナリだけに頼るのではなく、ソーシャルエンジニアリングを活用しました。
BleepingComputer describes a separate tool referenced in the docs—“AuthTool”—presented as a required dependency. In reality, it functioned as the malware delivery mechanism.	BleepingComputerは、ドキュメントで参照されている別のツール「AuthTool」について説明しています。これは必須の依存関係として提示されていますが、実際にはマルウェア配信メカニズムとして機能していました。
This mirrors the broader “ClickFix” pattern: the victim is convinced to run a command manually because it looks like a troubleshooting step, not an infection.	これは、より広範な「ClickFix」パターンを反映しています。つまり、感染ではなくトラブルシューティング手順のように見えるため、被害者はコマンドを手動で実行するように説得されます。
Why AI assistants are unusually attractive targets	AIアシスタントが異常に魅力的なターゲットである理由
Local AI assistants often request (or are granted) extensive permissions:	ローカル AI アシスタントは、多くの場合、広範な権限を要求します (または付与されます)。
Reading project folders and configuration files	プロジェクトフォルダと構成ファイルの読み取り
Accessing terminal sessions	ターミナルセッションへのアクセス
Integrating with browsers and password stores	ブラウザとパスワードストアとの統合
Talking to APIs using developer keys	開発者キーを使用してAPIと通信する
That makes them “credential concentrators.” A single successful infection can yield a pile of secrets that can be reused elsewhere.	つまり、それらは「認証情報集中装置」なのです。一度感染に成功すると、大量の秘密情報が生成され、他の場所で再利用できるようになります。
Practical steps to reduce risk	リスクを軽減するための実践的なステップ
If you use OpenClaw (or any tool with a plug-in ecosystem), treat skills like code you are installing, not “prompts.”	OpenClaw (またはプラグインエコシステムを備えた任意のツール) を使用する場合は、スキルを「プロンプト」ではなく、インストールするコードのように扱います。
Prefer vetted, well-known publishers.	審査済みのよく知られた出版社を優先します。
New accounts, random names, and cloned descriptions are red flags.	新しいアカウント、ランダムな名前、複製された説明は危険信号です。
Audit install instructions.	インストール手順を監査します。
Any step that asks you to paste base64 blobs or run curl\|sh should be assumed malicious.	base64 blob を貼り付けたり curl\|sh を実行したりすることを要求する手順は、悪意のあるものと想定する必要があります。
Sandbox the assistant.	アシスタントをサンドボックス化します。
Run it in a VM/container with minimal filesystem access.	最小限のファイルシステムアクセスで VM/コンテナ内で実行します。
Use least privilege for API keys.	API キーには最小限の権限を使用します。
Separate keys per tool; keep scopes narrow; rotate regularly.	ツールごとにキーを分け、スコープを狭く保ち、定期的に回転させます。
Monitor outbound connections.	送信接続を監視します。
Unexpected domains during installation/setup are suspicious.	インストール/セットアップ中に予期しないドメインが発生する場合は疑わしいです。
If you suspect you ran a malicious skill, assume credential compromise and rotate:	悪意のあるスキルを実行した疑いがある場合は、資格情報の侵害を想定して、次の操作を実行します。
Browser passwords / password manager tokens	ブラウザのパスワード / パスワードマネージャーのトークン
SSH keys
Cloud credentials
API keys and “.env” secrets	APIキーと「.env」シークレット
What registries can do (and what they can’t)	レジストリでできること（できないこと）
Registry operators can add scanning, reputation signals, and takedown processes. But when an ecosystem is growing quickly, volume outpaces review.	レジストリ運営者は、スキャン、レピュテーションシグナル、削除プロセスなどを追加できます。しかし、エコシステムが急速に成長している場合、ボリュームがレビューのペースを上回ってしまうことがあります。
That means the safety baseline still depends on user behavior and deployment hygiene.	つまり、安全ベースラインは依然としてユーザーの行動と展開衛生に依存します。
Bottom line
The OpenClaw skill campaign is a warning that “AI toolchains” are now part of the software supply chain. If a plug-in can run code or access secrets, treat it with the same caution you’d apply to installing a random package from npm or PyPI.	OpenClawスキルキャンペーンは、「AIツールチェーン」が今やソフトウェアサプライチェーンの一部となっていることを警告するものです。プラグインがコードを実行したり、シークレットにアクセスしたりできる場合は、npmやPyPIからランダムにパッケージをインストールするのと同じ注意を払ってください。
Sources
https://www.bleepingcomputer.com/news/security/malicious-moltbot-skills-used-to-push-password-stealing-malware/	https://www.bleepingcomputer.com/news/security/malicious-moltbot-skills-used-to-push-password-stealing-malware/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	管理者によるすべての投稿を表示
A judge ruled the DOE climate working group was illegal—here’s why that matters	裁判官はエネルギー省の気候変動ワーキンググループが違法であると判決を下した。これがなぜ重要なのか
Intel’s Panther Lake laptop chips: why ‘Core Ultra Series 3’ is a reset	インテルのPanther LakeノートPCチップ：「Core Ultra Series 3」がリセットとなる理由
BleepingComputer reports hundreds of malicious OpenClaw skills were posted to trick users into running malware droppers. Here’s how plugin ecosystems get abused, what the ‘AuthTool’ trick is, and how to reduce risk.	BleepingComputerによると、数百もの悪質なOpenClawスキルが投稿され、ユーザーを騙してマルウェアドロッパーを実行させているという。プラグインエコシステムがどのように悪用されるのか、「AuthTool」のトリックとは何か、そしてリスクを軽減する方法を解説する。

Document Title

Malicious OpenClaw ‘skills’ are being used to spread password-stealing malware

BleepingComputer reports hundreds of malicious OpenClaw skills were posted to trick users into running malware droppers. Here’s how plugin ecosystems get abused, what the ‘AuthTool’ trick is, and how to reduce risk.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

A judge ruled the DOE climate working group was illegal—here’s why that matters

Intel’s Panther Lake laptop chips: why ‘Core Ultra Series 3’ is a reset

Page Content

Malicious OpenClaw ‘skills’ are being used to spread password-stealing malware

Nature

Climate

Technology

/ By

Admin

A wave of malicious “skills” (plug-ins) targeting the local AI assistant OpenClaw has been used to deliver information-stealing malware, according to BleepingComputer. The packages were designed to look like helpful tools, but their setup instructions pushed victims into running commands that installed stealers.

This is the familiar supply-chain story, adapted to a new ecosystem: when an automation tool has broad access to files, credentials, and browsers, its plug-in registry becomes an attacker’s ideal distribution channel.

What happened (in broad strokes)

BleepingComputer reports that more than 230 malicious skills were published in under a week across the project’s official registry and GitHub. Some were near-identical clones with randomized names, and a subset became popular.

The skills impersonated “useful” utilities (including crypto and social-media-related tools) but ultimately aimed to steal sensitive data such as API keys, wallet secrets, SSH credentials, and browser passwords.

How the “documentation” became the exploit

Instead of relying only on a hidden binary, the campaign leaned on social engineering.

BleepingComputer describes a separate tool referenced in the docs—“AuthTool”—presented as a required dependency. In reality, it functioned as the malware delivery mechanism.

This mirrors the broader “ClickFix” pattern: the victim is convinced to run a command manually because it looks like a troubleshooting step, not an infection.

Why AI assistants are unusually attractive targets

Local AI assistants often request (or are granted) extensive permissions:

Reading project folders and configuration files

Accessing terminal sessions

Integrating with browsers and password stores

Talking to APIs using developer keys

That makes them “credential concentrators.” A single successful infection can yield a pile of secrets that can be reused elsewhere.

Practical steps to reduce risk

If you use OpenClaw (or any tool with a plug-in ecosystem), treat skills like code you are installing, not “prompts.”

Prefer vetted, well-known publishers.

New accounts, random names, and cloned descriptions are red flags.

Audit install instructions.

Any step that asks you to paste base64 blobs or run curl|sh should be assumed malicious.

Sandbox the assistant.

Run it in a VM/container with minimal filesystem access.

Use least privilege for API keys.

Separate keys per tool; keep scopes narrow; rotate regularly.

Monitor outbound connections.

Unexpected domains during installation/setup are suspicious.

If you suspect you ran a malicious skill, assume credential compromise and rotate:

Browser passwords / password manager tokens

SSH keys

Cloud credentials

API keys and “.env” secrets

What registries can do (and what they can’t)

Registry operators can add scanning, reputation signals, and takedown processes. But when an ecosystem is growing quickly, volume outpaces review.

That means the safety baseline still depends on user behavior and deployment hygiene.

Bottom line

The OpenClaw skill campaign is a warning that “AI toolchains” are now part of the software supply chain. If a plug-in can run code or access secrets, treat it with the same caution you’d apply to installing a random package from npm or PyPI.

Sources

https://www.bleepingcomputer.com/news/security/malicious-moltbot-skills-used-to-push-password-stealing-malware/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

A judge ruled the DOE climate working group was illegal—here’s why that matters

Intel’s Panther Lake laptop chips: why ‘Core Ultra Series 3’ is a reset

Document Title
Page not found - Florin.blog	ページが見つかりません - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	ページが見つかりません - Florin.blog
Skip to content
Home
Blog
Garden Decor	ガーデンデコレーション
Indoor
Main Menu
This page doesn't seem to exist.	このページは存在しないようです。
It looks like the link pointing here was faulty. Maybe try searching?	ここへのリンクに問題があるようです。検索してみてください
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Amazonアソシエイトとして、当社は対象となる購入から報酬を得ています。お客様に追加料金はかかりません
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...