ClawHavoc、OpenClawのClawHubを標的とするサプライチェーン攻撃を確認

ClawHavoc、ClawHubを標的としたサプライチェーン攻撃

OpenClawの公式スキルマーケットプレイス「ClawHub」が、ClawHavocと呼ばれる攻撃キャンペーンの標的となった。報告によれば、少なくとも1,184件の不正な「スキル」がプラットフォーム上に公開されたとされる。

OpenClawは、かつてClawdBotやMoltbotの名称で知られていたオープンソースのクロスプラットフォーム型AIエージェントで、スキル形式のパッケージを通じて機能拡張が可能な設計となっている。パッケージには設定情報やスクリプト、関連リソースなどが含まれる。

攻撃者は開発者として登録した上で、正規の拡張機能を装うスキルを多数公開したとみられる。その後、「ClickFix」と呼ばれる手口などのソーシャルエンジニアリングを組み合わせ、利用者に特定のコマンド実行や追加ペイロードの取得を促す流れが確認されている。

悪意あるスキルの偽装手口と実行フロー

Antiy CERT によると、問題のパッケージは「Trojan/OpenClaw.PolySkill」として分類されている。Antiy AVL SDKを組み込んだ製品では、アップデート適用後に関連サンプルの検出・削除が可能とされる。

攻撃で確認された手口の一つは、SKILL.mdやREADMEといったドキュメント内に不正なコマンドを紛れ込ませる方法だ。数百行に及ぶ説明文の中に、設定手順や必須要件を装ってターミナルコマンドを記載し、利用者にコピー・実行させる構成となっている。また、「補助ツール」のダウンロードを促す記述も確認されている。

この手法は、利用者自身が操作を行う点に特徴があり、従来型のエクスプロイト検知を回避する可能性がある。段階的なダウンロードを通じて追加のマルウェアを導入したり、スクリプトにリバースシェル機能を組み込むなどの挙動が想定される。

macOSではAtomic macOS Stealerとの関連も

macOS環境で確認されたペイロードは、Atomic macOS Stealer（AMOS）との関連が指摘されている。同マルウェアは、ブラウザ保存の認証情報やキーチェーン内のデータ、Telegram関連ファイル、SSHキー、暗号資産関連情報などを収集する機能を持つとされる。取得したデータは圧縮された上で外部サーバーへ送信される構造となっている。

最初の不正スキルは2026年1月27日に確認され、その後1月31日には投稿件数の急増が観測された。

利用者と運営側に求められる対策

OpenClawの利用者には、スキルを通常のソフトウェアと同様に慎重に扱う姿勢が求められる。不審なスキルは削除し、APIキーやトークン、ウォレット関連情報などの認証情報が漏えいした可能性がある場合は速やかに変更する必要がある。また、端末上に想定外のバイナリやスクリプトが存在しないか、外部への不審な通信が発生していないかを確認することも重要だ。

特に、ドキュメントに記載されたコマンドの実行を求められるケースや、パスワード付きアーカイブの導入、ファイル共有サイトからの補助ツール取得を促す記述には注意が必要とされる。

一方、プラットフォーム運営側には、投稿コンテンツの審査体制強化が求められる。自動化された静的解析の導入や、不審なURL・コマンドの検出、サンドボックス環境での検証、発行者の信頼性評価などを組み合わせた多層的な対策が有効とされる。加えて、問題のあるスキルを迅速に削除できる運用フローの整備も重要となる。