Alerta de Seguridad: 472 Plugins Maliciosos Envenenan el Hub de IA OpenClaw, Advierte SlowMist

In, , , ,
Ayudanos a compartir esta información
Únete a nuestro Canal de Telegram

Alerta de Seguridad: 472 Plugins Maliciosos Envenenan el Hub de IA OpenClaw, Advierte SlowMist

Un ataque coordinado de cadena de suministro ha explotado la falta de revisión en ClawHub, la plataforma oficial de plugins para el agente de IA de código abierto OpenClaw, para robar datos y extorsionar a usuarios. Según un informe de la firma de ciberseguridad SlowMist, actores maliciosos han subido cientos de “skills” o plugins infectados que activan puertas traseras (backdoors) para sustraer información confidencial. La campaña se dirige específicamente a usuarios interesados en criptoactivos y automatización financiera.

El Alcance del Ataque y la Vulnerabilidad Explotada

SlowMist detectó 472 skills maliciosos en el marketplace ClawHub a través de su sistema de monitoreo MistEye, que generó alertas de alta severidad. La vulnerabilidad central que permitió esta infiltración masiva son los mecanismos de revisión débiles o inexistentes en la plataforma, incapaces de filtrar el código dañino antes de que estuviera disponible para los usuarios.

Este incidente constituye un claro ejemplo de “envenenamiento de cadena de suministro”, una técnica sofisticada donde los atacantes comprometen un componente de software legítimo antes de que llegue al usuario final. El problema no es aislado. Un informe separado de la firma Koi Security, fechado el 1 de febrero, ya había identificado 341 skills con código malicioso de un total de 2,857 analizados, evidenciando un patrón recurrente de riesgo en los ecosistemas de plugins para agentes de IA.

La Técnica del Ataque y los Objetivos

El Caballo de Troya Digital

Los skills maliciosos operan haciéndose pasar por paquetes de instalación de dependencias legítimas, pero ocultan comandos que, tras la instalación, activan funciones de backdoor. SlowMist identificó el uso específico de un backdoor codificado en “Base64” para ejecutar sus operaciones.

Robo de Datos y Extorsión

El objetivo final de esta campaña es la extorsión. Una vez instalado, el backdoor tiene la capacidad de recopilar contraseñas y archivos personales del dispositivo infectado, información que luego sería utilizada para presionar a las víctimas.

La Carnada Cripto

Los atacantes emplearon una estrategia de ingeniería social dirigida, nombrando sus skills maliciosos con términos asociados a criptoactivos, datos financieros y herramientas de automatización. SlowMist señaló que estas categorías “son más propensas a reducir la vigilancia de los usuarios y fomentar una instalación rápida”, aprovechando el interés de la comunidad en estas herramientas.

Un Ataque Coordinado y su Rastro Digital

La evidencia apunta a una operación coordinada y a gran escala ejecutada por un grupo organizado. SlowMist afirmó en su análisis:

“Esto sugiere fuertemente una operación de ataque a gran escala basada en un grupo, en la que una gran cantidad de skills maliciosos comparten el mismo conjunto de dominios/IPs y emplean técnicas de ataque mayormente idénticas”.

El rastro digital conduce a un origen técnico común. La mayoría de los ataques provienen del dominio malicioso principal “socifiapp[.]com”, registrado en julio de 2025, y de una dirección IP específica asociada a exploits de la infraestructura de ciberataques conocida como “Poseidon”.

Recomendaciones de Seguridad para los Usuarios

Ante esta amenaza, SlowMist emitió una serie de recomendaciones cruciales para los usuarios de ClawHub y plataformas similares:

1. Auditar el código fuente: Siempre se debe revisar el archivo SKILL.md o el código fuente de cualquier skill que requiera una instalación o ejecución mediante comandos de copia y pega.

2. Mantener el escepticismo: Los usuarios deben ser extremadamente cautelosos ante cualquier prompt o instrucción que solicite contraseñas del sistema, permisos de accesibilidad o cambios en la configuración del sistema operativo.

3. Verificar la procedencia: Es fundamental investigar la reputación y el origen de los plugins antes de instalarlos, especialmente en marketplaces que carecen de procesos de revisión rigurosos.

Hasta el momento, Cointelegraph no ha obtenido una respuesta adicional de SlowMist tras contactar a la firma para recabar más detalles sobre el incidente.

Click to rate this post!
[Total: 0 Average: 0]
Previous PostNext Post

Related Posts

Anthropic Acusa a Tres Gigantes Chinos de IA de Ataques Masivos de “Destilación” Contra Claude

Acusan a hombre en Corea del Sur de intento de asesinato por envenenar a socio tras pérdida de $816,000 en criptomonedas

EE.UU. Incauta $61 Millones en USDT Vinculados a Estafa Cripto ‘Pig Butchering’

Hong Kong Anuncia Plataforma Central para Bonos Tokenizados y Avanza con Licencias de Stablecoins en 2026

CryptoVibe.news  Empresas y bancos

Anchorage Digital respalda a MicroStrategy adquiriendo su bono STRC, frente al récord de ventas en corto de Wall Street

Tensiones en Medio Oriente impulsan el oro como refugio, mientras Bitcoin lucha por superar la demanda débil

Bitcoin Supera los $66,000 en Sintonía con Wall Street; Análisis Señala “Potencial Alcista” Tras Máxima Divergencia con el Oro

Analistas Desmienten la Teoría del “Vertido de las 10 a.m.” de Jane Street: Bitcoin No Es Fácil de Manipular

CryptoVibe.news Blockhain

Ballena Cripto Pierde $8.2 Millones en Apalancamiento de ARC en Lighter, Activando Protocolos de Emergencia

Indiana Aprueba Ley Histórica de Derechos Cripto: Prohíbe Impuestos Discriminatorios y Abre Planes de Jubilación a Bitcoin

Translate »
X
Bienvenido a CryptoVibe