O diretor de segurança da informação da Slow Mist Tech, 23pds, emitiu um aviso público alertando que, devido ao ClawHub depender do login com um clique via GitHub, os certificados de desenvolvedor roubados por vírus worms podem ser utilizados para se passar por desenvolvedores e publicar Skills maliciosos, realizando ataques na cadeia de suprimentos. Ao mesmo tempo, o GoPlus realizou uma varredura completa de segurança nas 100 Skills mais baixadas do ClawHub, mostrando que 21% apresentam alto risco e 17% requerem advertência.
Análise completa do caminho de ataque: da credencial do GitHub à invasão do sistema
A Slow Mist detalhou claramente nesta publicação toda a rota potencial de ataque, ajudando desenvolvedores e usuários a entenderem o mecanismo real da ameaça:
Roubo de credenciais: vírus worms como Sha1-Hulud ou ataques de phishing roubam as credenciais de login do GitHub dos desenvolvedores.
Obtenção de permissões no GitHub: o atacante usa as credenciais roubadas para acessar a conta do GitHub da vítima.
Fingir ser o desenvolvedor ao entrar no ClawHub: como o ClawHub usa autorização com um clique via GitHub, o atacante pode acessar a plataforma como um desenvolvedor legítimo.
Publicar Skills maliciosos: sob o nome do desenvolvedor comprometido, publica Skills maliciosos com backdoor, difíceis de distinguir de Skills legítimos.
Instalação e execução pelo usuário: usuários sem conhecimento baixam e executam esses Skills, ativando códigos maliciosos.
Invasão do sistema: o atacante obtém acesso ao dispositivo do usuário, podendo causar roubo de dados, controle remoto e outros danos graves.
A periculosidade dessa cadeia de ataque reside na alta furtividade de cada etapa, tornando quase impossível para o usuário identificar visualmente se um Skill foi adulterado maliciosamente.
Resultados do escaneamento do GoPlus: distribuição de segurança entre as 100 principais Skills
Em 12 de março, o GoPlus publicou um relatório de varredura de segurança nas 100 Skills mais baixadas do ClawHub, fornecendo dados mais sistemáticos de risco:
21% bloqueados: essas Skills apresentam operações de alto risco, incluindo penetração de rede direta, chamadas a APIs sensíveis e envio automático de mensagens.
17% com advertência: apresentam riscos potenciais, recomendando cautela na execução por usuários preocupados com segurança.
62% aprovadas: as Skills restantes não apresentaram problemas evidentes na análise atual.
O GoPlus recomenda que, para Skills com operações de alto risco, seja obrigatória a implementação de um mecanismo de “Humano no Loop (HITL)”, permitindo que a revisão manual intervenha antes da execução de operações críticas, e não apenas como medida corretiva posterior.
Controvérsia do SkillHub da Tencent: coleta em larga escala levanta questões de direitos autorais e suporte
Enquanto o alerta de segurança aumenta, o ecossistema do ClawHub também gerou outra discussão devido às ações da Tencent. A Tencent lançou uma comunidade SkillHub baseada na ecologia de código aberto oficial do OpenClaw, posicionada como uma plataforma de distribuição de Skills local para desenvolvedores na China. No entanto, Peter Steinberger, fundador do OpenClaw, criticou a iniciativa após tomar conhecimento, afirmando ter recebido e-mails de reclamação alegando que a Tencent coletou todos os Skills do ClawHub e os integrou à sua plataforma, com uma velocidade tão rápida que acionou os limites de taxa oficiais. Steinberger afirmou: “Eles copiaram, mas não apoiaram esse projeto.”
A Tencent respondeu explicando que o SkillHub opera como um espelho, com a origem original marcada como ClawHub, e que o objetivo da plataforma é fornecer uma experiência de acesso mais estável e rápida para os usuários na China. Nos primeiros sete dias de operação, a plataforma processou cerca de 180 GB de tráfego de downloads (870 mil downloads), mas os dados realmente obtidos da fonte oficial foram aproximadamente 1 GB. A Tencent também destacou que vários membros de sua equipe contribuíram com código para os projetos de código aberto relacionados, apoiando o desenvolvimento do ecossistema.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
O assalto mais disparatado do sector cripto? Um hacker cunha 1 000 milhões de USD em DOT, mas só rouba 230 000 USD
Os hackers exploraram uma vulnerabilidade da ponte cross-chain Hyperbridge para cunhar 1 000 000 000 de tokens Polkadot (DOT), com um valor nominal superior a 1190 milhões de dólares, mas devido à falta de liquidez, acabaram por só realizar cerca de 237 000 dólares. O ataque aconteceu porque o contrato inteligente não verificou corretamente as mensagens, permitindo que os hackers obtivessem com sucesso controlo administrativo e cunhassem tokens. O incidente destaca o papel crucial da liquidez do mercado no sucesso das operações de arbitragem.
CryptoCity9h atrás
Falsa aplicação Ledger Live rouba 9,5 milhões de dólares a partir de mais de 50 utilizadores em várias blockchains
Uma aplicação fraudulenta do Ledger Live na App Store da Apple roubou 9,5 milhões de dólares de mais de 50 utilizadores ao comprometer as informações das carteiras. O incidente, que envolve perdas significativas para investidores importantes, levanta preocupações sobre a segurança da App Store, suscitando discussões sobre um possível processo judicial contra a Apple.
GateNews11h atrás
Criticado por congelar demasiado devagar o USDC! O CEO da Circle: é preciso esperar sempre pela ordem do tribunal para congelar; recusa congelar por conta própria
O CEO da Circle, Jeremy Allaire, afirmou que, salvo se receber uma ordem judicial ou uma exigência por parte das autoridades de aplicação da lei, a empresa não irá congelar proactivamente endereços de carteiras. Mesmo perante controvérsias de branqueamento por parte de hackers e críticas da comunidade, a Circle continua a insistir em operar segundo os princípios do Estado de direito.
Jeremy Allaire define o limite da execução coerciva da Circle
-----------------------------
Com o mercado global de criptomoedas a viver uma fase de grande agitação, o CEO do emissor de stablecoins Circle, Jeremy Allaire, numa conferência de imprensa em Seul, na Coreia do Sul, apresentou uma posição clara sobre a mais sensível questão do mercado: o “congelamento de ativos”. Referiu que, embora a Circle tenha meios técnicos para congelar endereços de carteiras específicos, a menos que receba uma ordem judicial ou instruções formais das autoridades de aplicação da lei, a empresa não
CryptoCity13h atrás
Atacante Explora Vulnerabilidade de Polkadot Emparelhado e Transfere $269K para o Tornado Cash
A 15 de abril, a Arkham informou que o atacante que explorou uma vulnerabilidade do Bridged Polkadot transferiu cerca de 269.000 dólares em fundos roubados para o Tornado Cash, complicando o rastreio de ativos.
GateNews13h atrás
Os programadores do Bitcoin propõem o BIP 361 para se protegerem contra as ameaças da computação quântica
Os programadores do Bitcoin propuseram o BIP 361 para salvaguardar a rede contra os riscos dos computadores quânticos, congelando endereços vulneráveis. A proposta inclui um plano faseado para transferir os utilizadores para carteiras seguras contra o quântico, mas tem gerado debate sobre o controlo do utilizador e a segurança.
GateNews13h atrás
Hackers exploram o plugin Obsidian para distribuir o troiano PHANTOMPULSE com C2 baseado em blockchain
O Elastic Security Labs revelou que os agentes de ameaça se fizeram passar por empresas de capital de risco no LinkedIn e no Telegram para implementar um RAT do Windows chamado PHANTOMPULSE, usando cofres de notas do Obsidian para os ataques, algo que o Elastic Defend bloqueou com sucesso.
GateNews14h atrás
