TechFlow rapporte que, le 9 février, l’équipe de sécurité SlowMist a découvert qu’un vaste incident d’empoisonnement de la chaîne d’approvisionnement ciblait le centre de plugins ClawHub du projet open source d’agent IA OpenClaw. Les attaquants ont dissimulé des commandes malveillantes à l’aide d’un encodage Base64 dans le fichier SKILL.md, en les faisant passer pour des « étapes d’installation ou d’initialisation des dépendances », mettant ainsi en œuvre une chaîne d’attaque en deux phases.
Des analyses de sécurité ont permis d’identifier 341 compétences malveillantes. Ces programmes malveillants cherchent à voler les mots de passe des utilisateurs, collectent des informations sur l’hôte et les documents présents, puis transfèrent ces données vers les serveurs contrôlés par les attaquants. L’infrastructure malveillante associée est liée au groupe de pirates informatiques Poseidon.
Recommandations de protection :
- Auditez soigneusement toutes les étapes d’« installation » décrites dans les fichiers SKILL.md
- Soyez extrêmement vigilant face aux invites demandant la saisie du mot de passe système
- Téléchargez exclusivement les dépendances et outils depuis des canaux officiels
SlowMist a émis une alerte auprès de ses clients via son système MistEye, couvrant 472 compétences malveillantes ainsi que leurs indicateurs de compromission (IOC) associés.
