Cyberkriminelle nutzen Hugging Face und ClawHub mit über 575 bösartigen Fähigkeiten zur Malware-Verteilung

Sicherheitslage und Risiko

Unter macOS verbindet ein base64-kodierter Befehl stillschweigend mit der externen IP-Adresse 91.92.242.30, lädt den Infostealer AMOS herunter und führt diesen aus. AMOS ist ein auf macOS spezialisierter Diebstahl-Tool, der häufig als Malware-as-a-Service (MaaS) über Foren und Telegram vertrieben wird.

Ein weiteres Windows-Payload entschlüsselt Zeichenketten zur Laufzeit mit einem 30-Byte-XOR-Schlüssel und ruft dynamisch NT-APIs auf. Es führt eine Prozessinjektion in den Speicher Code etabliert eine über HTTPS verschlüsselte C2-Kommunikation mit AES-Verschlüsselung an die Domain velvet-parrot.com:443.

Anschließend lädt er einen Kryptominer herunter, der sich als svchost.exe ausgeben soll, und sichert die Persistenz durch geplante Aufgaben sowie Ausnahmepfade in Windows Defender. Eine kritische Technik in den ClawHub-Kampagnen ist die indirekte Prompt-Injection.

Sicherheitslage und Risiko

Dabei werden versteckte, bösartige Anweisungen in Skill-Dateien eingebettet, die Namen der Benutzer ausgeführt werden. Da OpenClaw-Agenten darauf ausgelegt sind, autonom auf Basis handeln, können Angreifer diese Agenten zu unbewussten Vermittlern machen und den Angriffsumfang weit über das anfängliche Opfer hinaus ausweiten.

Auf Hugging Face, das über eine Million Machine-Learning-Modelle beherbergt, identifizierten Acronis TRU Repositories, die als Staging-Punkte für mehrstufige Infektionsketten dienen und Payloads für Windows, Linux und Android hosten. Zwei konkrete Kampagnen veranschaulichen diesen Missbrauch.

Die Kampagne ITHKRPAW zielte im Januar auf Organisationen des vietnamesischen Finanzsektors ab. Sie nutzte eine bösartige LNK-Datei, um Cloudflare Workers aufzurufen, die einen PowerShell-Dropper bereitstellten.

Technik und Auswirkungen

Dieser lud einen Payload aus einem Hugging-Face-Dataset-Repository herunter und öffnete gleichzeitig eine täuschende Katzenbild als Ablenkung, um Aktivitäten zu maskieren. Forscher bewerten mit moderatem Vertrauen, dass das PowerShell-Skript (LLM) generiert wurde, basierend auf eingebetteten Kommentaren in vietnamesischer Sprache.

Die FAKESECURITY-Kampagne nutzte ein Batch-Skript (CDC1.bat), das einen verschlüsselten PowerShell-Blob enthielt. Dieser enthielt ein stark verschleiertes sekundäres Batch-Skript aus einem Hugging-Face-Repository.

Nach dem Entfernen des Mark-of-the-Web zur Umgehung Malware-Programm Shellcode in explorer.exe und platzierte eine Datei, die sich fälschlicherweise als Windows Security ausgab. Organisatorien und Entwickler sollten KI-Modelle, Datensätze und Agent-Erweiterungen nicht als vertrauenswürdig behandeln.

Stattdessen gilt es, denselben Validierungsprozess anzuwenden

Stattdessen gilt es, denselben Validierungsprozess anzuwenden wie bei jedem fremden Code. Zu den spezifischen Maßnahmen gehören die Prüfung installierter OpenClaw-Fähigkeiten auf verschlüsselte Befehle oder Anweisungen für externe Downloads.

Zudem ist die Überwachung auf unerwartete Prozessinjektionen in explorer.exe sowie das Blockieren bekannter bösartiger Indikatoren wie der IP-Adresse 91.92.242.30 und der Domain velvet-parrot.com erforderlich. Schlielich sollten nderungen an Windows Defender-Ausschlusspfaden ber die Gruppenrichtlinie eingeschrnkt werden.

Cyberkriminelle dringen heute nicht mehr über die Haustür, sondern über Lieferanten und vertrauenswürdige Plattformen ein.