Cloud
Bösartige OpenClaw Skill täuschen Nutzer
Die Kampagne mit Atomic Stealer stellt einen entscheidenden Wandel bei Supply-Chain-Angriffen dar: Angreifer versuchen nicht mehr Menschen zu täuschen, sondern manipulieren KI-Agenten-Workflows, um ihre Malware zu installieren - eine Analyse.
Save to Folio
Wichtige Erkenntnisse
- Atomic (AMOS) Stealer manipuliert für seine ausgeklügelten Supply-Chain-Angriffe KI-Agenten-Workflows auf Plattformen wie OpenClaw.
- In SKILL.md-Dateien versteckte bösartige Anweisungen nutzen KI-Agenten als vertrauenswürdige Vermittler aus, die ahnungslosen Benutzern gefälschte Einrichtungsanforderungen präsentieren.
- Ein irreführendes Dialogfeld soll den Benutzer dazu zu verleiten, sein Passwort manuell einzugeben und so die Infektion zu erleichtern.
- Angreifer laden Hunderte von bösartigen Skills auf ClawHub und SkillsMP hoch.
Atomic Stealer (AMOS) wurde früher über „geknackte” macOS-Software verbreitet. Nun aber stellten die Forscher von TrendAI™ Research fest, dass die Malware unter dem Deckmantel von OpenClaw-Skills verteilt wird.
Diese Kampagne stellt einen entscheidenden Wandel bei Supply-Chain-Angriffen dar: Der Angreifer versucht nicht mehr, Menschen zu täuschen, sondern manipuliert KI-Agenten-Workflows, um die erste Stufe der Malware zu installieren. Es geht um eine alte Malware, die versucht, Social Engineering auf KI-Agenten anzuwenden. Dies bedeutet einen Wechsel weg von Prompt Injection hin zur Nutzung der KI selbst als Vermittler, um Menschen zu täuschen.
Wir haben eine Vielfalt von 39 Skills (ohne spezifische Fokusmuster) identifiziert, die OpenClaw manipulieren, um ein gefälschtes Command-Line-Interface-Tool (CLI) auf ClawHub zu installieren. Obwohl diese mittlerweile alle entfernt wurden, existiert der Code weiterhin im Github-Repository von ClawHub. Diese Skills überschneiden sich in hohem Maße mit den 341 ClawHavoc-Skills, die Koi Research identifiziert hatte, läuten aber eine deutliche Abkehr von den etablierten AMOS Taktiken, Techniken und Verfahren (TTPs) ein. Die bösartigen Skills sind auch auf anderen Skill-Websites zu finden, beispielsweise auf SkillsMP.com, skills.sh und sogar im Github-Repository von openclaw/skills.
Technische Analyse
Atomic macOS Stealer (AMOS) ist eine Malware-as-a-Service (MaaS), die darauf ausgerichtet ist, sensible Daten direkt von Apple-Nutzern zu stehlen. Eine beliebte Variante davon, Trojan.MacOS.Amos, haben wir bereits im September 2025 analysiert. Sie sammelt eine Vielzahl persönlicher Daten, wie Credentials, Browserdaten, Kryptowährungs-Wallets, Telegram-Chats, VPN-Profile, Schlüsselbund-Elemente, Apple Notes und verschiedene Dateien, die in allgemeinen Ordnern gespeichert sind. Aufbauend unserer Untersuchung von OpenClaw entdeckten wir eine neue Variante, die auf OpenClaw Skills zielt. Diese Variante stahl bestimmte Dateitypen aus den Ordnern „Desktop“, „Dokumente“ und „Downloads“ und sammelte gleichzeitig Anmeldedaten aus Apple- und KeePass Keychains sowie Software- und Hardwareprofile.
Erstzugang
Die Infektion beginnt mit einer normalen SKILL.md-Datei, die eine als Voraussetzung erforderliche Komponente (OpenClawCLI) installiert.
Der Skill erscheint oberflächlich betrachtet harmlos und wurde auf VirusTotal sogar als gutartig eingestuft. OpenClaw ruft dann die Website auf, lädt die Installationsanleitung herunter und fährt mit der Installation fort, wenn das LLM beschließt, den Anweisungen zu folgen. Bei Verwendung eines fortgeschritteneren Modells wie Claude Opus 4.5 erkennt das Modell solche Tricks und stoppt die Installation des Skills.
Bei Verwendung von GPT-4o kann der Skill jedoch entweder stillschweigend installiert werden oder den Benutzer jedes Mal zur Installation des „Treibers“ auffordern. Den weiteren Ablauf des Angriffs können Sie im Originalbeitrag nachlesen.
Ein Beispiel der exfiltrierten Daten:
Wir haben zwei AMOS-Samples analysiert, die in OpenClaw-Funktionen eingebettet sind. Beide sind Mach-O-Universal-Binärdateien, die sowohl auf Intel-basierten als auch auf Apple-Silizium-basierten MacOS-Systemen laufen. Alle Zeichenfolgen innerhalb der Binärdatei sind mit einem Multi-Key-XOR-Schema verschlüsselt. Die Hauptschlüssel werden beim Programmstart einmalig initialisiert und während der gesamten Ausführung wiederverwendet.
In dieser Variante werden typische AMOS-Funktionen eingesetzt, wie z. B. das Sammeln von Benutzernamen, Passwörtern, Systeminformationen, Apple-Schlüsselbunden und den gespeicherten Daten von 19 verschiedenen Browsern (einschließlich Cookies, Passwörtern, Autovervollständigungen und gespeicherten Kreditkarten). Außerdem kann die Malware Dateien aus 150 Kryptowährungs-Wallets und 17 Desktop-Wallets sowie Telegram- und Discord-Nachrichten stehlen.
Nach der Exfiltration ist der Schädling in der Lage, Backdoor-Versionen der Kryptowährungs-Wallets Ledger Live und Trezor Suite herunterzuladen und zu installieren. In unserer Umgebung haben wir dieses Verhalten nicht beobachtet, aber wir konnten die Backdoor-Version von Ledger Live herunterladen.
TrendAI™ Managed Detection and Response kann diese Art von Bedrohungen über Workbench Alerts und gemappte Observed Attack Techniques in TrendAI Vision One™ schnell identifizieren. Einzelheiten dazu im Originalbeitrag.
Fazit
AMOS ist keine neue Malware-Familie, aber ihre Betreiber finden immer wieder innovative Verbreitungswege. Anfangs setzten sie auf „ClickFix“-Köder, später verbreiteten sie sich über geknackte Mac-Software und nutzten anschließend manipulierte Generative Engine Optimization (GEO), darunter manipulierte Antworten von ChatGPT und Grok, berichtet Huntress. Zuletzt wurde AMOS über bösartige Agent-Skills verbreitet.
Wir haben über 2.200 bösartige Skills auf Github identifiziert, was es für Verteidiger schwierig und unpraktisch macht, jeden einzelnen Skill vor der Installation des Agenten zu überprüfen. Dennoch sollten nicht validierte Agent Skills in einer kontrollierten Umgebung getestet werden. Auch empfehlen wir die Nutzung von Containern, um die Ausführungsumgebung für KI-Agenten einzugrenzen.
Alle Kunden von TrendAI™ Managed Detection and Response Services (MDR) sind vor dieser Bedrohung geschützt. Darüber hinaus werden alle AMOS-bezogenen Domains vom TrendAI™ Web Reputation Service kategorisiert und blockiert.
Der Originalbeitrag listet auch die Indicators of Compromise auf.