Een nieuwe reeks supply chain aanvallen zorgt voor flinke ophef binnen het AI agent ecosysteem van OpenClaw. Hackers maken misbruik van zwakke controles in het pluginplatform ClawHub om honderden kwaadaardige scripts te verspreiden. De aanval is slim opgezet: onschuldige installatie instructies blijken het startpunt voor diefstal van wachtwoorden, documenten en andere gevoelige gegevens.
Malafide plugins verstopt in SKILL.md bestanden
Waar de meeste gebruikers denken dat ze een handige tool installeren, draait op de achtergrond een heel ander script mee. In de zogenoemde SKILL.md bestanden, normaal bedoeld als uitleg, verstoppen aanvallers commando’s die op het eerste gezicht lijken op installatie instructies. Maar achter een stukje Base64 code schuilt vaak een commando dat kwaadaardige software ophaalt en uitvoert.
Een voorbeeld hiervan is de populaire “X (Twitter) Trends” plugin. Die lijkt legitiem, maar laadt stiekem een achterdeur die data rooft van de gebruiker en deze verstuurt naar een command and control server. Onder andere socifiapp.com en het IP adres 91.92.242.30 fungeren als eindpunt van deze gestolen gegevens.
Georganiseerde aanval met herbruikbare infrastructuur
Volgens beveiligingsfirma Koi Security zijn er inmiddels 341 van de 2.857 gescande skills als kwaadaardig geïdentificeerd. De aanval lijkt sterk georganiseerd: veel van de malafide plugins gebruiken dezelfde domeinen, scripts en IP adressen. De aanvallers maken slim gebruik van een tweefasen aanpak. Eerst wordt een onschuldig script geladen dat een tweede, gevaarlijkere payload binnenhaalt van een externe server. Deze aanpak maakt snelle updates mogelijk zonder dat het originele skill bestand hoeft te worden aangepast.
De dynamische lading bevat vaak software die op de achtergrond systeembestanden doorspit, documenten van het bureaublad of downloadsmap verzamelt, en gebruikers om hun systeemwachtwoord vraagt via een neppe popup. De buit wordt verpakt in ZIP bestanden en direct doorgestuurd naar de aanvaller.
MistEye alarmeert en houdt toezicht
Beveiligingsbedrijf SlowMist heeft snel gereageerd met hun eigen systeem MistEye, dat al honderden verdachte skills heeft opgespoord. Inmiddels zijn er 472 skills met verdachte kenmerken in kaart gebracht. Het systeem blijft nieuwe varianten monitoren en realtime waarschuwingen uitsturen naar aangesloten klanten. Deze ontwikkelingen sluiten aan bij de recente inspanningen van de Ethereum Foundation om softwarebeveiliging te verbeteren.
Gebruikers krijgen het advies om nooit zomaar installatie commando’s uit Markdown bestanden te kopiëren en alert te zijn bij scripts die om systeemtoegang of wachtwoorden vragen. De aanval laat zien hoe makkelijk supply chain aanvallen kunnen binnendringen als er geen strikte controle plaatsvindt op externe plugins.
Wil jij altijd op de hoogte blijven van het laatste crypto nieuws? Volg ons dan gratis op Google Nieuws.
10% cashback met de Bybit Card, tot $40 bonus en 10% korting op fees
Bybit EU heeft haar Bybit Card in Europa gelanceerd, waarmee je bij meer dan 90 miljoen winkels kan betalen met je crypto, inclusief een 10% cashback. Om dit te vieren hebben zij een speciale promotie:
- 10% cashback op al je aankopen tot 150 EUR met de Bybit Crypto Card (meer informatie en voorwaarden)
- 10% korting op de handelskosten (30 dagen geldig, zichtbaar tijdens registratie)
- Tot $40 bonus na storting van $400 (meer informatie en voorwaarden)
Alle bovengenoemde bonussen zijn deze maand tegelijkertijd geldig.
Bybit beschikt over een MiCAR licentie en mag officieel in Europa opereren onder de nieuwe regels.
Om aanspraak te maken op de $40 is een storting van minimaal $400 vereist. Bij een storting van minimaal $100 ontvang je $20 (ongeveer €18,50). Alle gebruikers ontvangen de 10% korting op de handelskosten (geldig voor 30 dagen). De 20% cashback met de Bybit Card moet eerst geactiveerd worden.
Bybit heeft wereldwijd meer dan 70 miljoen gebruikers en meer dan 2 miljoen Bybit Card gebruikers. Registreer een account via onderstaande knop en profiteer van de welkomstbonus. Je vindt de voorwaarden op de actiepagina.