Установка скиллов и плагинов OpenClaw осуществляется на ваш страх и риск. Все файлы были получены из открытых источников и предоставляются «как есть». Мы не гарантируем их корректную работу, безопасность или совместимость с вашей системой. Перед установкой настоятельно рекомендуется ознакомиться с содержимым кода и убедиться, что вы понимаете, какие изменения будут внесены в вашу систему.
Команда безопасности JFrog выявила вредоносный OpenClaw-скилл под названием omnicogg, размещённый в ClawHub. Он использует раздутый README-файл размером около 22 МБ, чтобы скрыть внутри закодированный в base64 дроппер с возможностью удалённого выполнения кода (RCE), обходя проверки VirusTotal, ClawDex и встроенный сканер ClawHub.
Главная цель атаки — сбор учётных данных разработчиков. При этом сам пакет маскируется под инструмент для унифицированной работы с API различных сервисов, создавая иллюзию полезности.
Ключевые признаки вредоносной активности
1. Дроппер, скрытый в base64
Внутри README обнаружена обфусцированная команда вида curl | bash, закодированная в base64. Она указывает на внешний IP-адрес и служит прямым доказательством вредоносного поведения.
2. Отсутствие реального исходного кода
Несмотря на заявленную функциональность, пакет фактически является «пустой оболочкой». В нём отсутствуют Python-файлы, бинарники или зависимости, которые могли бы реализовать обещанную интеграцию сервисов.
3. Искусственное увеличение размера файла
README-файл был намеренно увеличен до ~22 МБ. Это сделано для обхода инструментов статического анализа и сторонних систем проверки, которые не обрабатывают столь большие файлы эффективно.
4. Риск кражи учётных данных
Скилл запрашивает доступ к чувствительным токенам и аккаунтам, представляясь универсальным API-клиентом. После выполнения вредоносного кода эти данные могут быть легко извлечены злоумышленниками.
Почему это опасно
Пакет omnicogg набрал более 5000 загрузок менее чем за три недели, что демонстрирует серьёзную проблему современной цепочки поставок ПО — чрезмерное доверие к автоматическим системам безопасности. :
Злоумышленники адаптируются к работе как классических сканеров, так и инструментов на базе LLM. Простые техники, такие как «раздувание» файлов, позволяют скрывать вредоносную нагрузку за формально безопасными или средними оценками риска.
Выводы и рекомендации
Разработчикам, использующим OpenClaw и ClawHub, следует проявлять повышенную осторожность:
- всегда вручную проверять содержимое новых скиллов;
- с осторожностью относиться к пакетам без исходного кода или с подозрительными зависимостями;
- не доверять полностью автоматическим оценкам безопасности;
- учитывать, что даже «средний» уровень риска может скрывать серьёзную угрозу.
Случай с omnicogg показывает: даже в современных экосистемах для AI-агентов атаки на цепочку поставок становятся всё более изощрёнными, а защита требует не только инструментов, но и внимательного человеческого анализа.
Файл из источника