È partita una campagna di distribuzione malware che sfrutta due piattaforme AI — Hugging Face e ClawHub — per piazzare trojan, cryptominer e infostealer mascherati da tool AI legittimi ed estensioni per agenti.
Il punto interessante? Non stiamo parlando dei soliti repository software. Qui gli attaccanti hanno puntato direttamente su ecosistemi AI considerati affidabili. Tipo quando scopri che il problema non è alla porta principale ma nel magazzino dei fornitori.
575 skill fasulle nell’ecosistema OpenClaw
Acronis TRU ha scovato 575 skill malevole pubblicate su ClawHub, distribuite tra 13 account sviluppatore. Due attori principali dominano la scena:
- hightower6eu — 334 skill malevole (58% del totale)
- sakaen736jih — 199 skill (34.6%)
- Altri 11 account — volumi minori ma comunque attivi
Le skill trojanizzate si spacciano per utility utili — tipo un tool per estrarre trascrizioni YouTube — mentre in realtà istruiscono gli utenti a scaricare archivi protetti da password o eseguire comandi encoded.
Payload multipiattaforma: Windows e macOS nel mirino
Su Windows, i payload rilevati sono trojan impacchettati con VMProtect. Su macOS, un comando base64-encoded si collega a un IP esterno (91.92.242[.]30) e scarica/esegue silenziosamente AMOS Stealer — un infostealer-as-a-service venduto via Telegram e forum underground.
Un secondo payload Windows usa una chiave XOR da 30 byte per decrittare stringhe a runtime, risolve dinamicamente API NT, e inietta codice in-memory dentro explorer.exe. Il codice iniettato stabilisce comunicazione C2 cifrata AES via HTTPS verso hxxps://velvet-parrot[.]com:443, scarica un cryptominer mascherato da svchost.exe, e mantiene persistenza tramite scheduled task ed esclusioni di Windows Defender.
Prompt injection indiretta: gli agenti AI come intermediari inconsapevoli
Tecnica chiave osservata nelle campagne ClawHub: indirect prompt injection. Gli attaccanti nascondono istruzioni malevole dentro i file delle skill, che gli agenti AI leggono ed eseguono per conto degli utenti.
Siccome gli agenti OpenClaw sono progettati per agire autonomamente in base alle definizioni delle skill, gli attaccanti trasformano questi agenti in intermediari — amplificando l’impatto dell’attacco ben oltre la vittima iniziale.
Hugging Face: un milione di modelli, qualcuno è marcio
Hugging Face ospita oltre un milione di modelli ML. Acronis TRU ha identificato repository usati come staging point per catene di infezione multi-stage — payload per Windows, Linux e Android.
Due campagne tracciate illustrano l’abuso in pratica:
Campagna ITHKRPAW (gennaio 2025)
Target: organizzazioni finanziarie vietnamite. Un file LNK malevolo invoca Cloudflare Workers, che serve un dropper PowerShell. Il dropper scarica payload da un dataset repository Hugging Face mentre apre un’immagine decoy di un gatto per mascherare l’attività.
I ricercatori stimano — con moderata confidenza — che lo script PowerShell sia stato generato da un LLM, basandosi sui commenti embedded in vietnamita.
Campagna FAKESECURITY
Script batch (CDC1.bat) contenente un blob PowerShell encoded che scarica un secondo script batch pesantemente offuscato da un repository Hugging Face. Dopo aver rimosso il Mark-of-the-Web per bypassare Windows SmartScreen, il malware inietta shellcode in explorer.exe e droppa un file mascherato da Windows Security.
Cosa fare (spoiler: trattare AI come codice untrusted)
Organizzazioni e developer dovrebbero trattare modelli AI, dataset ed estensioni per agenti come input non affidabili — stessa validazione applicata a qualsiasi codice di terze parti.
Step specifici:
- Audita skill OpenClaw installate cercando comandi encoded o istruzioni di download esterni
- Monitora process injection inattese in
explorer.exe - Blocca indicatori malevoli noti:
91.92.242[.]30,velvet-parrot[.]com - Restringi modifiche ai path di esclusione di Windows Defender via Group Policy
I criminali informatici ora entrano attraverso i fornitori invece che dalla porta principale. Tipo quando scopri che il problema non era il lucchetto davanti, ma la finestra lasciata aperta dal tizio delle consegne.
