Archiwa: AI - Strona 73 z 87 - Security Bez Tabu

Tag: AI

Microsoft Store: przejęty dodatek Outlook „AgreeTo” kradł dane logowania ponad 4 tys. kont. Co to mówi o ryzyku Office Add-ins?

Wprowadzenie do problemu / definicja luki

Incydent z dodatkiem Outlook „AgreeTo” jest dobrym przykładem ataków łańcucha dostaw (supply chain) w modelu „web app w przeglądarce”, gdzie zaufany kanał dystrybucji (marketplace) dostarcza użytkownikowi treść, która może zmienić się po akceptacji. W tym przypadku napastnik nie musiał łamać kont Microsoft ani infekować endpointów – wystarczyło przejąć kontrolę nad adresem URL, z którego dodatek ładował interfejs.

Efekt: użytkownik otwiera panel dodatku w Outlooku i widzi fałszywe logowanie Microsoft, osadzone w „zaufanym” kontekście aplikacji. Według ustaleń badaczy poszkodowanych miało być ponad 4 tys. kont.

W skrócie

  • „AgreeTo” był legalnym dodatkiem (scheduler spotkań) opublikowanym w Microsoft Office Add-in Store w 2022 r., a następnie porzuconym.
  • Office add-ins w praktyce działają jak adresy URL – Outlook ładuje zdalną zawartość przy każdym uruchomieniu dodatku.
  • Atakujący przejął porzucony adres hostowany na Vercel i podmienił treść na phishing (strona logowania Microsoft), a wykradzione dane eksfiltrował m.in. przez Telegram Bot API.
  • Problem jest „systemowy”: marketplace weryfikuje manifest, ale zawartość pod URL-em może się zmieniać, a uprawnienia dodatku (np. ReadWriteItem) nadal obowiązują.

Kontekst / historia / powiązania

Z relacji badaczy wynika, że „AgreeTo” był realnym produktem, który z czasem przestał być rozwijany. Dodatek pozostał jednak dostępny w sklepie, a jego backend/hosting stał się „osierocony” i możliwy do przejęcia.

To ważne, bo przypomina mechanikę znaną z innych ekosystemów: przejęcia wygasłych domen, opuszczonych projektów, repozytoriów czy paczek – tyle że tutaj dystrybucja odbywała się „wewnątrz Outlooka”, co zwiększa wiarygodność ataku w oczach użytkownika.

Analiza techniczna / szczegóły luki

Jak działają dodatki Outlook/Office (sedno ryzyka)

Microsoft Office Add-ins to aplikacje webowe uruchamiane w ramce (iframe) lub webview. Kluczowe jest to, że manifest dodatku wskazuje, skąd ma być ładowany interfejs i logika – i jest to treść zewnętrzna, pobierana dynamicznie.

W praktyce oznacza to:

  • kontrola bezpieczeństwa w momencie publikacji (manifest) ≠ kontrola tego, co serwer będzie serwował za miesiąc/rok,
  • jeśli ktoś przejmie hosting/domenę wskazaną w manifeście, może podmienić całą „aplikację” użytkownika.

Co zrobił napastnik w kampanii „AgreeToSteal”

Z opisu Koi Security i relacji medialnych łańcuch wyglądał następująco:

  1. Użytkownik uruchamia dodatek „AgreeTo” w Outlooku.
  2. Zamiast funkcji schedulera ładuje się fałszywa strona logowania Microsoft.
  3. Ofiara wpisuje e-mail i hasło.
  4. Dane są wysyłane do atakującego (w raporcie opisano eksfiltrację przez Telegram Bot API) i użytkownik jest przekierowywany na prawdziwą stronę logowania, aby nie wzbudzić podejrzeń.

Uprawnienia: dlaczego „ReadWriteItem” podbija stawkę

Badacze zwracają uwagę, że manifest dodatku deklarował uprawnienia typu ReadWriteItem. W dokumentacji Microsoft jest to poziom pozwalający m.in. na odczyt i modyfikację elementów (np. wiadomości) w kontekście dodatku.

W tym incydencie wykorzystano głównie phishing, ale przy takich uprawnieniach scenariusze eskalacji są oczywiste: odczyt treści maili, „ciche” podbieranie danych, a nawet modyfikowanie elementów (np. dopisywanie treści, tworzenie draftów, manipulacja kontekstem). To jest właśnie powód, dla którego ataki na dodatki mogą być bardziej niebezpieczne niż zwykłe okno phishingowe w przeglądarce.

Praktyczne konsekwencje / ryzyko

Najważniejsze ryzyka dla organizacji i użytkowników:

  • Przejęcie kont (ATO) – jeśli użytkownik używał tego samego hasła gdzie indziej albo nie miał mocnych kontroli dostępu, skutki idą daleko poza Outlook.
  • Obejście „czujności” – phishing działa w panelu Outlooka, więc heurystyki typu „nie klikaj w linki” są mniej skuteczne; użytkownik „sam” uruchamia dodatek ze sklepu.
  • Ryzyko danych w skrzynce – przy szerokich uprawnieniach dodatku potencjalnie w grę wchodzi wyciek informacji z maili i nadużycia w korespondencji.
  • Trudniejsze wykrywanie – to nie musi przechodzić przez klasyczne bramki pocztowe, a treść może być hostowana na legitnej infrastrukturze (np. platformy hostingowe), co utrudnia blokowanie domen „hurtowo”.

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów SOC / IT (organizacje)

  1. Inwentaryzacja dodatków Office/Outlook
    Sprawdź, jakie add-ins są zainstalowane/używane w tenantcie i przez kogo (szczególnie dodatki z marketplace).
  2. Zasada najmniejszych uprawnień
    Przeglądaj dodatki proszące o wysokie uprawnienia (np. ReadWriteItem). Jeśli nie są krytyczne biznesowo – usuń/ogranicz.
  3. Polityki dopuszczania dodatków (allowlist)
    Jeśli środowisko na to pozwala, przejdź na model „tylko zatwierdzone dodatki”.
  4. Detekcje wokół logowań i anomalii
    Monitoruj nietypowe logowania, skoki geolokalizacji, masowe próby, a także sygnały „impossible travel” i nietypowe aplikacje/klienty.
  5. Szybkie działania naprawcze, jeśli dodatek był używany
    Reset haseł, wymuszenie ponownego MFA, przegląd reguł skrzynki (inbox rules), sesji i urządzeń, oraz analiza zdarzeń dostępu.

Dla użytkowników końcowych

  • Jeśli dodatek wyświetla logowanie „Microsoft” w panelu, traktuj to jako czerwoną flagę (szczególnie, gdy wcześniej tego nie robił).
  • Zgłaszaj nietypowe zachowanie dodatków do IT; nie „próbuj jeszcze raz”.

Różnice / porównania z innymi przypadkami

Klasyczny phishing zwykle zaczyna się od wiadomości i linku. Tu dystrybucja odbywała się przez zaufany marketplace i UI Outlooka, a użytkownik nie musiał klikać w podejrzany e-mail. To upodabnia zdarzenie do:

  • przejęć rozszerzeń przeglądarkowych,
  • kompromitacji paczek w repozytoriach (npm/pypi),
  • przejęć domen po wygaśnięciu.

Wspólny mianownik: zmiana zachowania po pierwotnym „zaufaniu” i brak ciągłej weryfikacji treści po stronie dystrybutora.

Podsumowanie / kluczowe wnioski

Incydent „AgreeTo” pokazuje, że w 2026 r. ryzyko nie dotyczy już tylko „plików wykonywalnych” czy linków w mailach. Dynamiczne komponenty SaaS i dodatki stają się pełnoprawnym wektorem ataku łańcucha dostaw.

Najważniejsze wnioski:

  • Dodatki Office to aplikacje webowe ładowane z URL – przejęcie URL = przejęcie treści dodatku.
  • Wysokie uprawnienia (np. ReadWriteItem) mogą zamienić „niewinny” dodatek w narzędzie do eksfiltracji danych.
  • Organizacje powinny traktować marketplace add-ins jak software supply chain: inwentaryzacja, allowlisting, monitoring, przegląd uprawnień.

Źródła / bibliografia

  1. BleepingComputer – opis incydentu „AgreeTo”, przejęcie URL i phishing na 4k kont (BleepingComputer)
  2. Koi Security – raport „AgreeToSteal” (mechanika ataku, skala, IOCs) (koi.ai)
  3. The Hacker News – streszczenie i kontekst supply chain, odniesienia do procesu publikacji (The Hacker News)
  4. Microsoft Learn – „Understanding Outlook add-in permissions” (m.in. ReadWriteItem) (Microsoft Learn)
  5. Microsoft Learn – „Browsers and webview controls used by Office Add-ins” (model webview/iframe) (Microsoft Learn)

Korea Północna używa nowych rodzin malware na macOS w atakach na sektor krypto – ClickFix, deepfake i 7 narzędzi w jednym łańcuchu

Wprowadzenie do problemu / definicja luki

Opisywana kampania to nie „klasyczna luka” w sensie CVE, tylko połączenie socjotechniki i wieloetapowego łańcucha infekcji. Napastnicy – wiązani z północnokoreańskim zapleczem – wykorzystują technikę ClickFix (nakłanianie ofiary do wykonania komend „naprawczych” w systemie), a dodatkowo mają sięgać po AI-generowane materiały wideo (deepfake), by uwiarygodnić spotkanie i skłonić pracownika z branży kryptowalut do uruchomienia poleceń w terminalu.

To ważny trend: skuteczność ataku rośnie nie dzięki 0-day na macOS, lecz dzięki temu, że to użytkownik uruchamia inicjator infekcji, często w kontekście zawodowym (Web3/fintech), gdzie presja czasu i „spotkania z partnerem” są normalne.

W skrócie

  • Google (Mandiant) opisał incydent przypisany UNC1069 (aktywny co najmniej od 2018 r.), wymierzony w podmiot z sektora krypto/DeFi.
  • Wejście: kontakt na Telegramie z przejętego konta, link Calendly, a potem fałszywa strona spotkania (podszycie pod Zoom) i scenariusz „problemów z audio”.
  • Ofiara dostaje zestaw poleceń do wklejenia; wśród nich jest komenda pobierająca i uruchamiająca payload (dla macOS oraz osobno dla Windows).
  • Na macOS w jednej operacji zidentyfikowano 7 rodzin malware, w tym nowe narzędzia do eksfiltracji danych (m.in. SILENCELIFT, DEEPBREATH, CHROMEPUSH).

Kontekst / historia / powiązania

DPRK od lat monetyzuje operacje cybernetyczne w ekosystemie kryptowalut (giełdy, dostawcy portfeli, firmy infrastrukturalne, zespoły developerskie). W praktyce widzimy dwa równoległe wątki:

  1. Precyzyjne kampanie „na ludzi” (inżynierowie, finanse, zarząd) oparte o zaufanie i rozmowę 1:1. Ten model mocno przypomina wcześniejsze kampanie przypisywane BlueNoroff, gdzie atak zaczynał się od rozmów, materiałów „biznesowych” i prowadził do uruchomienia skryptów/payloadów na macOS.
  2. Ewolucję narzędzi: rośnie komponent AI (treści, grafiki, wideo) i dopracowanie „scenariusza spotkania”, a nie tylko samego malware. Mandiant wskazuje, że UNC1069 używa narzędzi AI w rozpoznaniu i przygotowaniu elementów operacji, a Kaspersky opisywał podobną linię rozwoju u aktorów powiązanych z BlueNoroff.

Analiza techniczna / szczegóły luki

1) Łańcuch infekcji: ClickFix + fałszywe spotkanie

Mechanika ClickFix jest prosta: ofiara ma wrażenie, że wykonuje kroki diagnostyczne (np. dotyczące dźwięku), a wkleja polecenie, które pobiera i uruchamia złośliwy kod. W opisywanym incydencie komendy zawierały m.in. wywołanie curl ... | zsh dla macOS (pobranie skryptu i uruchomienie w powłoce) oraz alternatywny zestaw dla Windows.

2) Siedem rodzin malware na macOS – role i funkcje

Z perspektywy obrony kluczowe jest to, że to nie jeden trojan, tylko zestaw wyspecjalizowanych komponentów:

  • WAVESHAPER – backdoor (C++) działający w tle, zbiera informacje o hoście, komunikuje się HTTP/HTTPS i pobiera kolejne etapy.
  • HYPERCALL – downloader (Go) z RC4-szyfrowaną konfiguracją; łączność po WebSockets na 443; pobiera biblioteki i ładuje je w pamięci (reflective loading).
  • HIDDENCALL – backdoor (Go) wstrzykiwany przez HYPERCALL, daje operatorowi „hands-on keyboard” (komendy, pliki).
  • SILENCELIFT – minimalistyczny backdoor (C/C++), beaconing do twardo wpisanego C2; w pewnych warunkach ma wpływać na komunikację Telegram (wymagane uprawnienia).
  • DEEPBREATH – data miner (Swift): jeden z najciekawszych elementów, bo ma obchodzić TCC poprzez modyfikację bazy TCC i dzięki temu kraść m.in. dane z Keychain, przeglądarek (Chrome/Brave/Edge), Telegrama i Apple Notes.
  • SUGARLOADER – downloader (C++), użyty do dostarczania kolejnych etapów; w badanym przypadku utrwalany przez ręcznie utworzony launch daemon.
  • CHROMEPUSH – data miner (C++): instaluje się jako Chromium Native Messaging Host, podszywając się pod rozszerzenie typu „Google Docs Offline”, i potrafi zbierać dane przeglądarkowe (w tym cookies), a także obserwować wpisy (keystrokes) i opcjonalnie wykonywać zrzuty ekranu.

3) Dlaczego to trudniejsze do wykrycia?

Mandiant zwraca uwagę na wykorzystanie artefaktów XProtect/XBS (w tym XPdb) do odtworzenia sekwencji zdarzeń nawet wtedy, gdy próbki zostały skasowane, a na hoście nie było EDR. To sygnał dla SOC/DFIR: na macOS ślady potrafią przetrwać w systemowych bazach, a nie tylko w klasycznych logach.

Praktyczne konsekwencje / ryzyko

  1. Ryzyko kradzieży kryptowalut i przejęć kont rośnie, bo malware celuje w dane sesyjne (cookies), hasła, rozszerzenia, a także komunikatory (Telegram) – czyli dokładnie to, co bywa używane do autoryzacji w ekosystemie krypto.
  2. Kompromitacja tożsamości (dane z przeglądarki, notatek, komunikatorów) umożliwia kolejne ataki socjotechniczne „z twojego konta” na współpracowników i partnerów – spirala zaufania działa na korzyść napastnika.
  3. macOS nie jest „bezpieczną przystanią” w środowiskach Web3/fintech – atakujący inwestują w natywne techniki (AppleScript, launch daemony, obejścia TCC), bo to się zwraca.

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów bezpieczeństwa (SOC/IR)

  • Polityka „no copy-paste commands”: w procesach biznesowych (sprzedaż/partnerstwa/rekrutacje) wprost zakazać uruchamiania komend otrzymanych w czacie/spotkaniu. ClickFix działa, bo normalizuje „wklej to do terminala”.
  • Telemetria na macOS: zbieraj zdarzenia dot. tworzenia/edycji:
    • /Library/LaunchDaemons/*.plist (np. podejrzane nazwy w stylu systemowych updaterów),
    • nietypowych plików binarnych w katalogach systemowych/użytkownika,
    • modyfikacji baz TCC (szczególnie, jeśli proces nie jest podpisanym komponentem Apple).
  • Hunting pod WebSockets + RC4 config + „native messaging host” w środowiskach Chrome/Brave/Edge na macOS (mechanika CHROMEPUSH).
  • Edukacja na deepfake w spotkaniach: jeśli „CEO/partner” jest na wideo, ale prosi o nietypowe działania administracyjne – to czerwona flaga.

Dla firm krypto/Web3/fintech (profil ryzyka)

  • Wprowadź weryfikację kanału: spotkania tylko przez ustalone domeny/SSO, a linki Calendly/Zoom weryfikowane niezależnym kanałem (np. firmowy mail + podpisane zaproszenie).
  • Oddziel środowiska: urządzenie do podpisów/operacji finansowych nie powinno służyć do „bizdev calli”, testów i codziennego przeglądania.
  • MFA odporne na kradzież cookies: tam, gdzie możliwe, preferuj mechanizmy ograniczające przejęcie sesji (device binding/conditional access).

Różnice / porównania z innymi przypadkami

  • W kampaniach macOS przeciw sektorowi krypto widywaliśmy wcześniej zestawy narzędzi nastawione na kradzież danych i portfeli (np. opisy analiz, gdzie macOS-owe warianty wykradają dane przeglądarkowe, hasła i artefakty walletów).
  • Nowość w opisywanym incydencie to skala i „zestawowość”: siedem rodzin malware na jednym hoście oraz wyraźne spięcie socjotechniki (Telegram + deepfake + ClickFix) z agresywnym harvestingiem (TCC/Keychain/Telegram/Notes + rozszerzenia przeglądarkowe).
  • U BlueNoroff/Huntress widać podobną filozofię ataku: bardzo celowane działania na macOS, AppleScript, kradzież materiałów wrażliwych i komponenty wspierające kradzież krypto.

Podsumowanie / kluczowe wnioski

  • To kampania, w której człowiek jest „wektorem wykonania”: ClickFix omija część klasycznych barier, bo użytkownik sam uruchamia inicjator infekcji.
  • UNC1069 wdraża rozbudowany arsenał na macOS: od backdoorów i loaderów po wyspecjalizowane „minery” danych (w tym mechanizmy naruszające TCC oraz podszywanie się pod rozszerzenia Chrome/Brave).
  • Dla organizacji z obszaru krypto/Web3 priorytetem jest dziś nie tylko „patching”, ale kontrola procesu komunikacji i spotkań, twarde zasady dot. uruchamiania poleceń oraz widoczność (telemetria) na macOS.

Źródła / bibliografia

  1. BleepingComputer – opis kampanii i listy rodzin malware (10 lutego 2026). (BleepingComputer)
  2. Google Cloud Blog (Mandiant) – pełna analiza UNC1069, ClickFix, deepfake, łańcuch i funkcje narzędzi (9 lutego 2026). (Google Cloud)
  3. Huntress – analiza włamania BlueNoroff w Web3 na macOS (czerwiec 2025). (Huntress)
  4. Kaspersky – informacje o kampaniach BlueNoroff i użyciu AI-driven narzędzi (październik 2025). (kaspersky.com)
  5. Palo Alto Networks Unit 42 – kontekst innych rodzin malware na macOS celujących w sektor krypto (luty 2025). (Unit 42)

Wyciek ujawnia „Expedition Cloud”: Chiny mają ćwiczyć cyberataki na infrastrukturę krytyczną sąsiadów

Wprowadzenie do problemu / definicja luki

Wyciek wewnętrznych materiałów technicznych opisujących platformę treningową do operacji ofensywnych to „wyciek zdolności” — nie w sensie pojedynczej podatności (CVE), ale ujawnienia procesu i infrastruktury, które pozwalają atakującemu ćwiczyć ataki na realistycznych kopiach cudzych sieci. Tego typu środowiska (cyber range) mogą służyć obronie, ale gdy dokumentacja kładzie nacisk na „rozpoznanie” i „atak” bez równorzędnej roli „obrony”, rośnie prawdopodobieństwo zastosowań stricte operacyjnych.

W przypadku opisywanym przez Recorded Future News, dokumenty mają wskazywać na system „Expedition Cloud”, który pozwala ćwiczyć scenariusze przeciwko replikom środowisk krytycznych (energia, przesył, transport, a nawet elementy smart home) w kierunkach określonych jako Morze Południowochińskie i Indochiny.

W skrócie

  • Wyciek obejmuje m.in. kod źródłowy, materiały szkoleniowe i zasoby programowe dotyczące platformy „Expedition Cloud”.
  • Dokumenty opisują środowisko do ćwiczeń na „kopii” realnych sieci przeciwnika oraz podział ról na grupy rozpoznania i grupy ataku.
  • Źródłem ujawnienia miała być źle zabezpieczona usługa FTP z danymi z urządzenia dewelopera, prawdopodobnie wcześniej zainfekowanego złośliwym oprogramowaniem.
  • Eksperci cytowani w materiale oceniają autentyczność plików jako wysoką, a konstrukcja systemu wskazuje na wysoką dojrzałość operacyjną i nacisk na OPSEC.
  • Równolegle, inne publikacje i wycieki (np. i-Soon, KnownSec) wspierają tezę o rozbudowanym ekosystemie kontraktorów obsługujących potrzeby chińskich struktur bezpieczeństwa.

Kontekst / historia / powiązania

Koncepcja cyber range w Chinach nie jest nowa. Raport CSET (Georgetown) opisywał już w 2022 r. szybki rozwój takich poligonów — od zastosowań edukacyjnych po powiązania z wojskiem i służbami — oraz możliwość ćwiczeń na środowiskach przemysłowych/ICS. Wprost zwracano uwagę, że obrońcy mogą spotkać się z atakami „przećwiczonymi” na replikach ich sieci.

Tym, co wyróżnia obecną sprawę, jest „twardy” materiał techniczny dotyczący platformy, która ma odwzorowywać sieci „operacyjnych przeciwników” w konkretnym ukierunkowaniu geograficznym.

Warto też widzieć to na tle wcześniejszych wycieków związanych z chińskim rynkiem „hackingu usługowego”:

  • i-Soon (Anxun): wyciek dokumentów i czatów miał ujawniać kontrakty z agencjami publicznymi oraz skalę targetowania instytucji rządowych w wielu państwach.
  • KnownSec (analiza DomainTools, styczeń 2026): raport opisuje model kontraktorski i narzędzia/dane wspierające rozpoznanie i operacje (internet-scale recon, biblioteki celów, łączenie infrastruktury z tożsamościami).

Na poziomie komunikacji publicznej Pekin konsekwentnie odrzuca oskarżenia o cyberataki, deklarując sprzeciw wobec „hackingu”. Przykładem jest stanowisko rzecznika MSZ Chin w kontekście brytyjskich sankcji (grudzień 2025).

Analiza techniczna / szczegóły luki

1) Czym ma być „Expedition Cloud” w praktyce

Z ujawnionych materiałów ma wynikać, że „Expedition Cloud” to część większego, zintegrowanego systemu, którego celem jest umożliwienie operatorom wielokrotnego odtwarzania scenariuszy ataku na bazie szablonów sieci docelowych. Te szablony mają naśladować „realne środowiska sieciowe” przeciwnika, w tym sektory energii/przesyłu i transportu.

2) Model operacyjny: rozpoznanie → atak (i pomiar efektywności)

W dokumentacji zwraca uwagę podział ćwiczeń na dwa zespoły:

  • Reconnaissance group: mapowanie środowiska (systemy, usługi, interfejsy, potencjalne ścieżki dostępu).
  • Attack group: realizacja operacji na podstawie danych rozpoznawczych (wybór punktu wejścia, trasy ruchu bocznego, osiągnięcie celu ćwiczenia).

Kluczowa jest też telemetria: system ma rejestrować działania uczestników (logi aktywności, ruch sieciowy, decyzje operatorów), umożliwiając rekonstrukcję i replay oraz porównywanie „przebiegów” między zespołami i powtórzeniami. To przesuwa cyberoperacje w stronę metodycznej optymalizacji: „co działa najlepiej” w danym odwzorowanym środowisku.

3) OPSEC i separacja środowisk

Eksperci cytowani przez Recorded Future News podkreślają „nietypowo ścisłą” segmentację i separację elementów kontrolnych od symulowanego środowiska „zewnętrznego”, traktowanego jako niezaufane — co może wskazywać na użycie platformy do działań wrażliwych/klasyfikowanych.

4) Łańcuch ujawnienia: dlaczego doszło do wycieku

W materiale wskazano, że dane miały zostać znalezione na niezabezpieczonym serwerze FTP, a zestaw plików wyglądał jak zebrany z urządzenia dewelopera, które miało być zainfekowane malware. Obok plików projektowych znajdowały się też prywatne dane i próbki złośliwego oprogramowania.

To klasyczny antywzorzec: połączenie słabego zarządzania danymi + kompromitacji endpointu + błędnej ekspozycji usług (FTP) kończy się wyciekiem o wysokiej wartości wywiadowczej.

5) Wątek automatyzacji i AI

W wypowiedziach ekspertów pojawia się teza, że taka platforma (telemetria + powtarzalność + pomiar) może być krokiem do większej automatyzacji ofensywy: algorytmy mogą szybciej eksplorować warianty ścieżek ataku, minimalizować „błąd ludzki” i przyspieszać decyzje.

Praktyczne konsekwencje / ryzyko

  1. „Time-on-target” spada: jeśli przeciwnik najpierw wykona rozpoznanie, a później wróci z przećwiczonym scenariuszem na replice Twojej sieci, skraca czas potrzebny na ruch boczny i realizację celu (szybsza eskalacja i mniejsza ekspozycja na detekcję).
  2. Większa powtarzalność kampanii: standaryzacja środowisk i „weapon images” (prekonfigurowane VM jako stanowiska atakującego w poligonie) sugerują, że narzędzia mogą być traktowane jako wymienne „wkłady”, a wartością jest proces, dane i metryki skuteczności.
  3. Ryzyko dla infrastruktury krytycznej: jeśli ćwiczenia obejmują komponenty energii/przesyłu/transportu, rośnie presja na podmioty operatorskie, by traktować APT nie tylko jako problem kradzieży danych, ale też potencjalnie zakłóceń (choć sam materiał nie przesądza o realnych planach sabotażu).
  4. Ekosystem kontraktorów: wycieki i analizy (i-Soon, KnownSec) wzmacniają obraz rynku, w którym prywatne firmy dostarczają narzędzia, dane i usługi dla struktur państwowych — co zwiększa skalowalność i „industrializację” działań.

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/Blue Team w sektorach wrażliwych (CII, energetyka, transport, telekom, administracja):

  1. Podnieś jakość telemetrii „wczesnej fazy”
    Skoro model zakłada rozpoznanie przed właściwym atakiem, priorytetem są detekcje: skanowania, enumeracji usług, nietypowych zapytań do katalogów, nietypowych połączeń do paneli zarządzania/OT DMZ.
  2. Utrudnij tworzenie „replik” Twojej sieci
    Minimalizuj wycieki informacji o topologii i technologiach: ogranicz banery, zredukuj ekspozycję usług administracyjnych, stosuj segmentację i separację domen zarządzania (IT/OT), kontroluj metadane w publicznych zasobach.
  3. Załóż, że przeciwnik ćwiczył ruch boczny
    Egzekwuj: tiering AD, zasadę najmniejszych uprawnień, rozdział kont admin, ograniczenia RDP/WinRM/SMB, LAPS/ELAM, kontrolę narzędzi dual-use (PSExec, WMI, living-off-the-land). Cel: zmniejszyć przewidywalność ścieżek.
  4. Ćwicz odporność jak przeciwnik: purpurowe ćwiczenia na środowiskach zbliżonych do produkcji
    Skoro atakujący „gra na replice”, Twoją odpowiedzią powinno być testowanie detekcji i reakcji w realistycznych scenariuszach (w tym z łańcuchem: initial access → recon → lateral movement → collection).
  5. Wzmocnij higienę ekspozycji plików i repozytoriów
    Ten wyciek jest też przypomnieniem: audit zewnętrznych usług (FTP/S3/Git), kontrola danych na endpointach deweloperów, EDR + hardening stacji uprzywilejowanych, DLP dla artefaktów projektowych.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • i-Soon (2024) pokazywał „rynek” — kontrakty, targety i katalog usług ofensywnych „na zamówienie”.
  • KnownSec (analizy po wycieku, 2026) opisuje bardziej „platformowy” stos: rozpoznanie na skalę internetu + zbiory danych tożsamości + narzędzia do eksploatacji i nadzoru.
  • Expedition Cloud (2026) dokłada brakujący element: „fabrykę skuteczności”, czyli środowisko do powtarzalnych prób, pomiaru i optymalizacji na replikach sieci, co wprost wspiera przygotowanie operacji przed ich wykonaniem.

Podsumowanie / kluczowe wnioski

  • Największa waga wycieku nie leży w pojedynczym narzędziu, lecz w tym, że dokumentacja sugeruje procesowe i inżynieryjne podejście do ofensywy: repliki środowisk, podział ról, pełna rejestracja działań i analiza skuteczności.
  • To wzmacnia wcześniej opisywany trend budowy cyber range w Chinach i potencjału do ćwiczeń również na środowiskach infrastruktury krytycznej.
  • Dla obrońców oznacza to konieczność myślenia o APT jak o przeciwniku, który może wrócić „po przerwie” z przećwiczoną ścieżką ataku — a więc inwestycje w detekcję rozpoznania, segmentację, ograniczanie informacji i realistyczne ćwiczenia IR stają się jeszcze bardziej opłacalne.

Źródła / bibliografia

  1. Recorded Future News / The Record: „Leaked technical documents show China rehearsing cyberattacks on neighbors’ critical infrastructure” (9 lutego 2026). (The Record from Recorded Future)
  2. CSET (Georgetown): „Downrange: A Survey of China’s Cyber Ranges” (wrzesień 2022). (cset.georgetown.edu)
  3. MSZ Chin: wypowiedź rzecznika ws. brytyjskich sankcji dot. cyberataków (aktualizacja: 11 grudnia 2025). (mfa.gov.cn)
  4. DomainTools Investigations: „THE KNOWNSEC LEAK…” (9 stycznia 2026). (dti.domaintools.com)
  5. The Record: „Leaked documents open the lid on China’s commercial hacking industry” (22 lutego 2024). (The Record from Recorded Future)

Atakujący wykorzystują luki w SolarWinds Web Help Desk do wdrażania Velociraptora i tuneli Cloudflare

Wprowadzenie do problemu / definicja luki

SolarWinds Web Help Desk (WHD) to popularny system ITSM/ticketowy, często wystawiany (niestety) do internetu dla wygody administratorów. W lutym 2026 pojawiły się wiarygodne potwierdzenia aktywnego wykorzystywania krytycznych podatności w WHD do uzyskania zdalnego wykonania kodu bez uwierzytelnienia (unauthenticated RCE), a następnie do wdrażania legalnych narzędzi użytych „na opak” — m.in. Zoho/ManageEngine do zdalnego dostępu, Cloudflare Tunnel (cloudflared) do trwałego wejścia oraz Velociraptor jako kanału C2/operacji post-exploitation.

W skrócie

  • Co się dzieje: aktywna eksploatacja instancji SolarWinds WHD wystawionych do internetu.
  • Najważniejsza podatność: CVE-2025-40551 (deserializacja niezaufanych danych → RCE), dodana przez CISA do KEV z krótkim terminem remediacji dla agencji federalnych (USA).
  • Dodatkowo obserwowane/rozważane CVE: m.in. CVE-2025-26399 oraz CVE-2025-40536 (bypass kontroli bezpieczeństwa) – w zależności od kampanii i momentu włamania.
  • Po wejściu: szybkie wdrożenie narzędzi dual-use (Zoho/ManageEngine), tuneli Cloudflare oraz Velociraptora wykorzystywanego jako C2.
  • Rekomendacja nr 1: aktualizacja WHD do 2026.1 lub nowszej i odcięcie paneli/admina od internetu.

Kontekst / historia / powiązania

Na przełomie stycznia i lutego 2026 SolarWinds udostępnił poprawki dla pakietu podatności w WHD, w tym krytycznych problemów jak CVE-2025-40551 (deserializacja) oraz CVE-2025-40536 (bypass zabezpieczeń); badacze przypisują odkrycia m.in. do Horizon3.ai i watchTowr.
Równolegle Microsoft opisał przypadki wielostopniowych intruzji zaczynających się od eksploatacji internet-exposed WHD, kończących się ruchem lateralnym w stronę aktywów „high value” (włącznie z ryzykiem kompromitacji domeny).
Huntress natomiast pokazał „z bliska” realny łańcuch ataku z 7 lutego 2026, gdzie po wejściu atakujący natychmiast uruchomili wdrażanie narzędzi do utrzymania dostępu i sterowania środowiskiem.

Analiza techniczna / szczegóły luki

Jakie podatności są wykorzystywane?

  • CVE-2025-40551 – kluczowy wektor: błąd deserializacji niezaufanych danych, prowadzący do RCE bez logowania. Status “Known Exploited” (KEV) sugeruje realne, potwierdzone użycie w atakach.
  • CVE-2025-40536 – opisywany jako security control bypass w zestawie styczniowych poprawek.
  • CVE-2025-26399 – starsza podatność, która również pojawia się w obserwacjach branżowych dot. aktywnej eksploatacji; w części przypadków trudno jednoznacznie przypisać konkretny CVE, bo hosty bywały podatne jednocześnie na „stary” i „nowy” zestaw.

Typowy łańcuch ataku (na podstawie obserwacji incident response)

  1. Initial access: eksploatacja podatnej, wystawionej do internetu instancji WHD → uruchomienie poleceń w kontekście aplikacji.
  2. Szybkie dołożenie zdalnego dostępu: instalacja agentów narzędzi klasy RMM (np. Zoho/ManageEngine) poprzez ciche MSI (np. msiexec /q /i ...).
  3. C2 i redundancja dostępu: wdrożenie Velociraptora (legalny DFIR) jako kanału C2 oraz zestawienie Cloudflare Tunnel (cloudflared) jako zapasowej ścieżki dostępu.
  4. Post-exploitation: rozpoznanie AD, enumeracja kont i grup (w tym uprzywilejowanych), ustanawianie trwałości (np. reverse SSH/RDP) oraz próby osłabienia zabezpieczeń na hoście.

Wersje i łatki

W źródłach pojawiają się różne progi wersji podatnych (co bywa efektem kilku CVE oraz różnych gałęzi hotfixów), ale wspólny mianownik jest prosty: aktualizuj do SolarWinds WHD 2026.1 (lub nowszej) zgodnie z zaleceniami producenta.

Praktyczne konsekwencje / ryzyko

  • Pełna kompromitacja serwera WHD: RCE bez logowania na aplikacji wystawionej do internetu to w praktyce „otwarte drzwi”.
  • Ryzyko kompromitacji domeny: Microsoft wprost opisuje scenariusz foothold → lateral movement → aktywa wysokiej wartości, co w środowiskach z WHD blisko AD bywa krytyczne.
  • Trudniejsze wykrycie (dual-use tooling): Zoho/ManageEngine, Cloudflare Tunnel czy Velociraptor są legalne i nierzadko spotykane w IT — atakujący liczą na to, że zginą w szumie.
  • Utrzymanie dostępu mimo działań obronnych: dodatkowe kanały (tunel Cloudflare, Velociraptor jako C2) zwiększają odporność ataku na proste blokady.

Rekomendacje operacyjne / co zrobić teraz

  1. Patch natychmiast: zaktualizuj SolarWinds WHD do 2026.1+ (lub wersji wskazanej w Twojej linii wsparcia) i usuń stare hotfixy tylko po potwierdzeniu ścieżki upgrade’u.
  2. Odłącz WHD od internetu: jeśli WHD musi być dostępny zdalnie — wymuś VPN/Zero Trust, filtrację IP, MFA, a interfejs admina trzymaj wyłącznie w sieci zarządzającej.
  3. Hunting / IOC-driven triage (praktyczne tropy):
    • nietypowe uruchomienia msiexec z parametrami cichej instalacji i URL (MSI z hostingu plików),
    • obecność/uruchomienia cloudflared, nietypowe tunele wychodzące,
    • artefakty Velociraptor (szczególnie, jeśli organizacja go nie używa),
    • oznaki osłabiania zabezpieczeń hosta (zmiany w Defender/Firewall, podejrzane zadania harmonogramu).
  4. Rotacja sekretów: zresetuj hasła i klucze powiązane z WHD (konta serwisowe, integracje, dostęp do bazy), rozważ ponowne wydanie poświadczeń, jeśli WHD miał dostęp do zasobów krytycznych.
  5. Segmentacja i egress control: ogranicz ruch wychodzący z serwera WHD (allow-list), monitoruj nietypowe połączenia do usług tunelujących i chmur.
  6. Detekcja behawioralna: postaw na reguły wykrywające łańcuchy procesów (np. usługa WHD/Tomcat → cmd.exe/PowerShell → BITS/download), a nie tylko sygnatury.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Ten incydent to podręcznikowy przykład trendu „living off the land + dual-use”: zamiast custom malware, atakujący stawiają na legalne narzędzia administracyjne i IR/DFIR. Velociraptor jest tu szczególnie ciekawy — normalnie służy do polowań i analizy incydentów, a w rękach napastnika staje się elastycznym kanałem zdalnego sterowania.

Podsumowanie / kluczowe wnioski

  • WHD wystawiony do internetu + krytyczne luki = realne ryzyko szybkiej kompromitacji i eskalacji w głąb sieci.
  • W praktyce atak po wejściu może opierać się na „legalnych” narzędziach (Zoho/ManageEngine, Cloudflare Tunnel, Velociraptor), co utrudnia wykrycie bez dobrego telemetry + korelacji zachowań.
  • Najważniejsze działania: upgrade do 2026.1+, odcięcie ekspozycji internetowej, hunting pod konkretne artefakty i rotacja poświadczeń.

Źródła / bibliografia

  1. BleepingComputer – opis kampanii i narzędzi (Zoho/Cloudflare/Velociraptor) (BleepingComputer)
  2. Huntress – analiza aktywnej eksploatacji i łańcucha ataku (Huntress)
  3. Microsoft Security Blog – obserwacje dot. multi-stage intrusion i guidance detekcyjne (Microsoft)
  4. Help Net Security – kontekst poprawek i lista CVE z pakietu styczniowego (Help Net Security)
  5. NVD (wpis KEV/CISA dla CVE-2025-40551: daty, wymagane działania) (NVD)

OpenClaw integruje skanowanie VirusTotal: jak ma działać „antywirus” dla Skills w ClawHub i dlaczego to dopiero początek

Wprowadzenie do problemu / definicja luki

Ekosystemy „agentów AI” (agentic AI) wnoszą nową klasę ryzyka: kod i instrukcje (skills / narzędzia / integracje) uruchamiane w imieniu użytkownika mają często dostęp do plików, sieci, tokenów API, komunikatorów i automatyzacji systemowych. W praktyce oznacza to, że „skill” potrafi stać się wektorem ataku typu supply chain – dokładnie jak wtyczka do przeglądarki, paczka NPM czy rozszerzenie VS Code, tylko nierzadko z jeszcze większym zakresem uprawnień.

W odpowiedzi na falę nadużyć w marketplace ClawHub, OpenClaw ogłosił integrację skanowania publikowanych skills z Google’owym VirusTotal, wykorzystując m.in. funkcję Code Insight do analizy paczek skills.

W skrócie

  • Wszystkie skills publikowane w ClawHub mają być skanowane w VirusTotal (w tym z użyciem Code Insight).
  • Mechanizm obejmuje deterministyczne paczkowanie ZIP, wyliczenie SHA-256, sprawdzenie w bazie VT, a gdy brak wyniku – upload i analiza przez VT v3 API.
  • Verdykt „benign” → auto-akceptacja, „suspicious” → ostrzeżenie, „malicious” → blokada pobrania; dodatkowo codzienne re-skanowanie aktywnych skills.
  • Zarówno OpenClaw, jak i badacze podkreślają: to nie jest „silver bullet” – prompt injection i „malicious workflow” mogą ominąć klasyczne detekcje.

Kontekst / historia / powiązania

Problem nie wziął się znikąd: analizy branżowe wskazały, że w marketplace pojawiają się setki skills podszywających się pod narzędzia „produktywności”, „krypto”, „automatyzacji” czy „updaterów”, które pod spodem realizują eksfiltrację danych, instalację payloadów, backdoory lub kradzież kluczy.

  • Bitdefender opisał, że w pierwszym tygodniu lutego 2026 ok. 17% analizowanych skills wykazywało zachowania złośliwe, a często spotykany był schemat klonowania nazw + staging payloadów w serwisach typu paste (np. glot.io) i repozytoriach GitHuba.
  • VirusTotal wskazał, że Code Insight przeanalizował już ponad 3 tys. skills, z czego „setki” miały cechy złośliwe; pokazano też przypadki, gdzie ZIP wygląda „czysto”, ale złośliwa jest procedura instalacyjna/workflow (np. nakłanianie do pobrania i uruchomienia zewnętrznego EXE/skryptu).
  • Cisco ujęło to szerzej: agent uruchamiający komendy, czytający i zapisujący pliki oraz działający przez komunikatory to z perspektywy obrony „koszmar”, bo łatwo o prompt injection, cichy exfil i „shadow AI” w firmach.

Analiza techniczna / szczegóły luki

1) Jak działa skanowanie w ClawHub (krok po kroku)

Z opisu OpenClaw wynika, że pipeline ma być możliwie powtarzalny i „reprodukowalny”:

  1. Deterministyczne paczkowanie plików skill do ZIP (stała kompresja i timestampy) + _meta.json z informacją o wydawcy i wersjach.
  2. Wyliczenie SHA-256 jako „odcisku palca” całej paczki.
  3. Lookup w VirusTotal po hashu: jeśli paczka istnieje i ma werdykt – wynik wraca od razu.
  4. Jeśli brak wyniku/brak analizy – upload paczki do VT (API v3) i analiza.
  5. Code Insight: analiza „security-first” całej paczki, startując od SKILL.md i śledząc referencje do skryptów/zasobów; to ma opisywać realne zachowania (sieć, pobieranie kodu, dostęp do sekretów), a nie marketingowy opis.
  6. Polityka decyzji: benign → auto-approve, suspicious → ostrzeżenie, malicious → blokada pobrania.
  7. Codzienne re-skanowanie aktywnych skills (ważne, bo reputacja IOC/artefaktów zmienia się w czasie).

2) Dlaczego „hash + VT” nie wystarcza

To dobra warstwa „higieny” (zwłaszcza na znane sample, zależności, bundlowane binarki), ale problemy agentów AI często są semantyczne:

  • The malware is the workflow”: paczka może nie zawierać malware’u, ale może instruować do pobrania EXE/skryptu z zewnątrz lub realizować exfil przez „niewinne” żądania sieciowe.
  • Prompt injection / ukryte instrukcje mogą wymknąć się sygnaturom, a część detekcji to analiza heurystyczna i ryzyko false negative. Sam OpenClaw wprost zaznacza ograniczenia i brak „silver bullet”.

3) Co pokazują przykłady z „dziczy”

  • VirusTotal opisał konta publikujące dziesiątki/ setki złośliwych skills oraz wzorce: „pusta” paczka + instrukcje pobrania binarki, Base64-obfuscation, staging na zewnętrznej infrastrukturze.
  • Bitdefender podkreślił skalowanie przez klonowanie i koncentrację na „krypto-skills” (szybka monetyzacja) oraz staging przez glot.io/GitHub.
  • Cisco pokazało scenariusze, gdzie skill może wymusić cichy exfil i prompt injection, a popularność w rejestrze może być manipulowana.

Praktyczne konsekwencje / ryzyko

Dla użytkowników indywidualnych

  • Kradzież sekretów lokalnych (klucze krypto, tokeny, pliki workspace, zmienne środowiskowe), szczególnie gdy agent ma dostęp do katalogów roboczych i wykonuje polecenia powłoki.
  • Infekcje etapowe: skill ściąga kolejne komponenty i uruchamia je w tle; użytkownik widzi „pomocny” opis i nie kojarzy skutków.

Dla organizacji

  • Shadow AI: instalacje na endpointach bez zgody IT + agent z uprawnieniami = nowy kanał eksfiltracji i „execution orchestrator”, którego nie łapie klasyczne DLP/proxy w oczywisty sposób.
  • Supply chain w wydaniu agentowym: jeden złośliwy skill może przejąć dostęp do usług, do których agent ma już klucze (poczta, kalendarz, komunikatory, repo).

Rekomendacje operacyjne / co zrobić teraz

Jeśli używasz OpenClaw jako użytkownik

  1. Traktuj skills jak instalację oprogramowania, nie jak „snippet”. Jeśli skill prosi o uruchomienie binarki, skryptu z internetu, „setup” z curl/bash – to czerwone flagi.
  2. Ogranicz sekrety: nie trzymaj kluczy/API w plikach i zmiennych, do których agent ma szeroki dostęp; rotuj tokeny, stosuj najmniejsze uprawnienia.
  3. Weryfikuj wydawcę i historię wersji; zwracaj uwagę na klony z drobnymi zmianami nazwy.
  4. Nie ufaj „benign” bezkrytycznie: czysty wynik skanu nie dowodzi bezpieczeństwa, szczególnie przy prompt injection i złośliwych workflow.

Jeśli odpowiadasz za bezpieczeństwo w firmie

  1. Zrób inwentaryzację agentów i marketplace’ów (shadow AI discovery) i zdefiniuj politykę: co wolno, gdzie wolno, na jakich stacjach.
  2. Wymuś izolację wykonania (sandbox / kontenery / ograniczenia sieci/FS) dla agentów uruchamiających narzędzia; oddziel profile i tokeny od kont produkcyjnych. (To kierunek obrony warstwowej, zgodny z tym, jak opisywane są ryzyka agentów).
  3. Kontrola egress + detekcja anomalii: skills często „muszą” wykonywać ruch sieciowy; kluczowe staje się wykrywanie podejrzanych destynacji, stagingu, nietypowych webhooków i nietypowych wzorców.
  4. Proces oceny skills: dopuszczaj tylko whitelisted skills, z przeglądem kodu i jasnym modelem uprawnień; marketplace to nie jest „repo zaufane” z definicji.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Rozszerzenia przeglądarki działają zwykle w pewnym sandboxie i mają deklaratywne uprawnienia; w agentach AI problemem jest to, że „uprawnienia” często wynikają z realnych tokenów i dostępu do systemu/plików, a logika wykonania bywa sterowana językiem naturalnym.
  • W klasycznym malware często wykrywasz „artefakt” (binarka, sygnatura). W skills artefaktem bywa instrukcja: paczka jest czysta, ale nakazuje pobrać i uruchomić zewnętrzny payload – „malware jest procesem”.
  • To zbliża ryzyko do supply chain + social engineering w jednym: marketplace daje dystrybucję, a naturalny język daje perswazję.

Podsumowanie / kluczowe wnioski

Integracja ClawHub z VirusTotal i Code Insight to sensowny krok w stronę „app store security” dla agentów AI: hash-based lookup, analiza paczek, automatyczne decyzje i re-skanowanie podnoszą koszt ataku i mogą wyciąć część oczywistych kampanii.

Jednocześnie publikacje VirusTotal, Bitdefendera i Cisco pokazują, że najgroźniejsze nadużycia są często semantyczne (workflow, prompt injection, persystencja i exfil), a więc skanowanie jest tylko jedną warstwą. W praktyce bezpieczeństwo agentów będzie zależeć od: izolacji wykonania, zarządzania sekretami, kontroli egress, przeglądów skills oraz polityk ograniczających „shadow AI”.

Źródła / bibliografia

  1. The Hacker News – „OpenClaw Integrates VirusTotal Scanning to Detect Malicious ClawHub Skills” (8 lutego 2026). (The Hacker News)
  2. OpenClaw Blog – „OpenClaw Partners with VirusTotal for Skill Security” (7 lutego 2026). (OpenClaw)
  3. VirusTotal Blog – „From Automation to Infection: How OpenClaw AI Agent Skills Are Being Weaponized” (luty 2026). (VirusTotal Blog)
  4. Cisco Blogs – „Personal AI Agents like OpenClaw Are a Security Nightmare” (28 stycznia 2026). (Cisco Blogs)
  5. Bitdefender Labs – „Helpful Skills or Hidden Payloads? … OpenClaw Malicious Skill Trap” (luty 2026). (Bitdefender)

Od automatyzacji do infekcji: jak „skille” OpenClaw stały się nowym kanałem dystrybucji malware

Wprowadzenie do problemu / definicja luki

Rynek „agentów AI” działających lokalnie na komputerze rośnie, bo obiecuje realną automatyzację: wykonywanie komend w shellu, operacje na plikach, sieci, integracje z API. Problem zaczyna się w momencie, gdy te agenty rozszerzamy o zewnętrzne dodatki — „skille” — które w praktyce stają się łańcuchem dostaw (supply chain) dla atakujących.

VirusTotal opisuje, że ekosystem OpenClaw (wcześniej Clawdbot/Moltbot) — wraz z publicznym marketplace’em ClawHub — zaczął być wykorzystywany jako nowy kanał dostarczania malware, często w formie „instrukcji instalacji”, które nakłaniają użytkownika do pobrania i uruchomienia zewnętrznego kodu.

W skrócie

  • VirusTotal wykrył setki złośliwych skillów w ekosystemie OpenClaw; w momencie publikacji przeanalizowano ponad 3 016 pakietów skill, z czego „setki” miały cechy złośliwe.
  • Atak nie zawsze polega na tym, że ZIP „jest malware”. Często „malware jest workflow”: markdown (SKILL.md) prowadzi użytkownika do uruchomienia droppera/backdoora/stealera.
  • VT opisuje też bardziej zaawansowane techniki: m.in. Execution Hijacking (uruchomienie payloadu jeszcze zanim użytkownik wykona właściwe polecenie), „semantic worms”, trwałość przez modyfikację plików kontekstu agenta (SOUL.md/AGENTS.md) i inne.
  • Niezależny audyt Koi Security wskazał 341 złośliwych skillów na ClawHub (większość z jednej kampanii nazwanej ClawHavoc).

Kontekst / historia / powiązania

OpenClaw zdobył popularność jako „agent, który naprawdę coś robi” — działa lokalnie i może wykonywać akcje na urządzeniu użytkownika. W takich modelach prawdziwe ryzyko nie wynika wyłącznie z LLM i promptów, ale z faktu, że agent ma dostęp do powłoki systemowej, plików i sieci — a skille są w praktyce niezależnym oprogramowaniem stron trzecich, instalowanym często „na wiarę”.

Analogicznie do tego, co obserwowaliśmy w ekosystemach npm/PyPI czy w marketplace’ach rozszerzeń, ClawHub stał się atrakcyjny dla atakujących, bo:

  • jest szybki „time-to-victim” (użytkownicy instalują dodatki, by od razu działało),
  • jest duża tolerancja na „krok instalacyjny w terminalu”,
  • wiele skillów ma minimalną zawartość kodu, a najgroźniejsza część jest w instrukcjach.

Analiza techniczna / szczegóły luki

1) „Skille” jako opakowanie socjotechniczne (SKILL.md → uruchom to w terminalu)

VirusTotal opisuje skille jako pakiety oparte o SKILL.md (metadane i instrukcje), często z dodatkowymi skryptami/zasobami. Najczęstszy wzorzec nadużycia: pozornie legalny skill (np. „Yahoo Finance”) zawiera niewiele kodu i nie jest wykrywany jako malware przez klasyczne silniki, ale wymusza na użytkowniku pobranie i uruchomienie binarki/skryptu z zewnątrz.

W jednym z opisanych przypadków (konto „hightower6eu”) VT wskazał, że przeanalizował 314 skillów powiązanych z jednym wydawcą i wszystkie miały charakter złośliwy; instrukcje prowadziły do uruchamiania zewnętrznych payloadów na Windows i macOS.

2) Zmiana gry po stronie obrony: analiza „zachowania” skilla (Code Insight)

VirusTotal dodał natywne wsparcie w VT Code Insight dla paczek OpenClaw (również ZIP). Analiza ma być „security-first”: nie tyle „co skill obiecuje”, ale co faktycznie robi/wywołuje, np. pobieranie i uruchamianie kodu, dostęp do danych wrażliwych, operacje sieciowe, wymuszanie niebezpiecznych zachowań.

3) Execution Hijacking i reverse shell „przy podglądzie helpa”

W części II VirusTotal pokazuje technikę Execution Hijacking: trigger ukryty w funkcji (np. warmup()), która uruchamia się zanim parser argumentów przetworzy polecenie. Efekt: payload może wykonać się już wtedy, gdy agent tylko „ładuje skrypt”, np. żeby sprawdzić --help.

W opisanym przykładzie VT omawia przepływ prowadzący do komendy uruchamiającej reverse shell (mechanizm bash + /dev/tcp + nohup), czyli realne zdalne przejęcie interaktywnej powłoki.

4) „Semantic worm”: agent jako kanał propagacji

VT nazywa „semantic worms” klasą nadużyć, gdzie skill nie tylko wykonuje kod, ale zawiera instrukcje mające skłonić agenta do rozprzestrzeniania (np. polecania/instalowania) dalej — wykorzystując mechanikę działania LLM i automatyzacji.

5) „Cognitive rootkit”: trwała modyfikacja warstwy instrukcji (SOUL.md / AGENTS.md)

Jedna z najbardziej niepokojących technik z części II to trwałość przez dopisanie treści do plików kontekstu agenta, które są automatycznie ładowane przy starcie. VT opisuje scenariusz, w którym instalator skilla dopisuje „implant” do SOUL.md i AGENTS.md, zmieniając zachowanie agenta w przyszłości nawet po usunięciu samego skilla.

Praktyczne konsekwencje / ryzyko

Dlaczego to jest groźniejsze niż „zwykłe” złośliwe repozytorium?

  1. Klasyczne AV/EDR może nie zareagować na etap 0
    Jeśli skill to „tylko markdown + mało kodu”, plik sam w sobie bywa „czysty”. Złośliwy jest dopiero etap pobrania i uruchomienia payloadu, często wykonywany ręcznie przez użytkownika zgodnie z instrukcją.
  2. Blast radius = cały komputer (a czasem sieć)
    Agent ma realne uprawnienia: pliki, powłoka, sieć. To sprawia, że drobny błąd w procesie instalacji skilla może skończyć się pełnym przejęciem hosta lub pivotem.
  3. Ryzyko kradzieży danych i kont
    W kampaniach opisywanych w ekosystemie OpenClaw pojawia się m.in. Atomic Stealer (AMOS). Unit 42 opisuje AMOS jako jednego z istotnych macOS infostealerów, kradnącego m.in. dane przeglądarek (hasła/cookies), artefakty kryptowalutowe i dane z komunikatorów.
  4. Skala i tempo
    Koi Security raportuje, że po audycie całego ClawHub wykryto 341 złośliwych skillów, z czego 335 wyglądało na jedną dominującą kampanię (ClawHavoc).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników / zespołów (blue team)

  • Traktuj foldery skill jako granicę zaufanego kodu: kontroluj, kto może je modyfikować i skąd pochodzą.
  • Sandboxuj uruchomienia agenta (izolacja, oddzielny użytkownik/system, ograniczenia sieci, brak dostępu do kluczy/sekretów).
  • Zasada „zero one-linerów”: nie uruchamiaj poleceń typu curl ... | bash, nie wklejaj obfuskowanych komend, nie uruchamiaj binarek „z instrukcji”.
  • Weryfikuj, co skill robi naprawdę: przegląd SKILL.md, skryptów, odwołań do zewnętrznych domen, base64/obfuskacji; skanuj paczki przed instalacją.

Dla operatorów marketplace / maintainerów platformy

  • Skanowanie przy publikacji: flagowanie zdalnego pobierania i wykonywania kodu, obfuskacji, instrukcji omijających nadzór użytkownika.
  • Mechanizmy reputacyjne i antyabuse: wymagania dot. kont, zgłaszanie/automatyczne wycofanie, widoczne ostrzeżenia „ten skill uruchamia zewnętrzny kod”. (To także kierunek dyskutowany publicznie wokół ClawHub).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • npm/PyPI vs ClawHub: w klasycznych menedżerach paczek złośliwy kod zwykle „jest w paczce”. W ekosystemie skillów agentowych często nie musi być — wystarczy, że paczka skutecznie nakłoni do uruchomienia payloadu lub „wstrzyknie” trwałe instrukcje do kontekstu agenta.
  • Infostealery jako payload: AMOS i podobne rodziny wpisują się w trend kradzieży danych/kluczy/sesji, ale nowością jest kanał dystrybucji (skille + agent z uprawnieniami).

Podsumowanie / kluczowe wnioski

OpenClaw i podobne „agentic AI” tworzą nową klasę ryzyka: automatyzacja z uprawnieniami systemowymi + marketplace dodatków = idealny cel dla supply chain. Najgroźniejsze przypadki nie polegają na „złośliwym ZIP-ie”, tylko na tym, że skill staje się wiarygodnym, powtarzalnym mechanizmem doprowadzania do RCE, kradzieży sekretów, backdoorów, a nawet trwałego przeprogramowania zachowania agenta („cognitive rootkit”).

Jeśli organizacja testuje agentów AI lokalnie: traktuj to jak wdrożenie narzędzia uprzywilejowanego. W takim świecie „supply chain” nie jest detalem — to jest produkt.

Źródła / bibliografia

  1. VirusTotal Blog — From Automation to Infection: How OpenClaw AI Agent Skills Are Being Weaponized (02.02.2026). (VirusTotal Blog)
  2. VirusTotal Blog — From Automation to Infection (Part II): Reverse Shells, Semantic Worms, and Cognitive Rootkits in OpenClaw Skills (05.02.2026). (VirusTotal Blog)
  3. Koi Security — ClawHavoc: 341 Malicious Clawed Skills Found by the Bot They Were Targeting (01.02.2026). (koi.ai)
  4. The Verge — OpenClaw’s AI ‘skill’ extensions are a security nightmare (ok. 05.02.2026). (The Verge)
  5. Palo Alto Networks Unit 42 — Stealers on the Rise: A Closer Look at a Growing macOS Threat (04.02.2025). (Unit 42)

Sieć 150+ klonów stron kancelarii: jak działa „recovery scam” napędzany AI i jak się przed nim bronić

Wprowadzenie do problemu / definicja luki

„Recovery scam” (oszustwo „odzyskiwania środków”) to model nadużycia, w którym przestępcy żerują na osobach już wcześniej oszukanych (np. na inwestycjach, kryptowalutach, fałszywych sklepach). Podszywają się pod kancelarie prawne lub „specjalistów od odzyskiwania pieniędzy”, obiecują pomoc i przenoszą rozmowę na kanały poza stroną (telefon/WhatsApp), by wyłudzić dane, a finalnie kolejne płatności. W opisywanej kampanii skala i jakość „opakowania” (klony stron) sugerują użycie automatyzacji i narzędzi AI do szybkiego generowania wiarygodnych serwisów.

W skrócie

  • Analitycy Sygnia zidentyfikowali globalną, aktywną sieć ponad 150 domen podszywających się głównie pod kancelarie (USA/UK, ale też sygnały aktywności m.in. w Japonii i Rumunii).
  • Kampania jest nastawiona na trwałość: rozproszone rejestracje domen, wiele rejestratorów, osobne certyfikaty TLS, często osłona przez Cloudflare, co utrudnia powiązanie i zdejmowanie infrastruktury.
  • Strony wyglądają profesjonalnie, ale są „płytkie” (mało podstron), a CTA prowadzą do WhatsApp/telefonu kontrolowanego przez oszustów.
  • Badacze wskazują na powtarzalność elementów (struktury, fragmenty treści, zasoby graficzne, czasowe „batch deployment”), co jest typowe dla zautomatyzowanej produkcji stron.

Kontekst / historia / powiązania

Podszywanie się pod kancelarie nie jest nowe, ale w ostatnich latach widoczny jest trend „industrializacji” oszustw: gotowe playbooki, automatyzacja treści i szybsze budowanie wiarygodności oferty. FBI/IC3 już wcześniej ostrzegało przed fikcyjnymi kancelariami kierowanymi do ofiar fraudów (szczególnie wątek kryptowalut), gdzie dochodzi zarówno do kradzieży środków, jak i danych osobowych.

Do tego dochodzą mechanizmy masowego „spinu” infrastruktury (rotacja domen), które dobrze znamy z phishingu. W Polsce analogiczny problem skali i rotacji domen widać w praktyce choćby w kontekście blokad i list ostrzeżeń CERT Polska (phishing działa „masowo”, krótkożyjące domeny są szybko zastępowane nowymi).

Analiza techniczna / szczegóły luki

1. Jak powstała mapa 150+ domen

Sygnia opisuje, że dochodzenie zaczęło się od zgłoszenia realnej kancelarii, która wykryła kilka stron podszywających się pod jej markę. Pivoty TI (powtarzalne elementy HTML/układu, te same fragmenty treści, zasoby graficzne, metody kontaktu) doprowadziły najpierw do kilkudziesięciu, a finalnie do ponad 150 powiązanych domen.

2. Infrastruktura zaprojektowana „pod unikanie korelacji”

Najważniejszy wniosek techniczny: operatorzy nie poszli w prostotę, tylko w tarcie dochodzeniowe:

  • Osobne certyfikaty TLS per domena – utrudnia pivotowanie po certyfikatach.
  • Rozproszone hostingi i zakresy IP, często za Cloudflare – maskowanie originów, trudniejsze powiązanie i egzekucja takedownów.
  • Odseparowane analityki (np. unikalne identyfikatory GTM/GA na wielu stronach); sporadyczne overlap’y traktowane jako „mocne sygnały” wspólnej kontroli.
  • Fragmentacja rejestracji domen (wiele rejestratorów) – mniej skuteczne pivoty „po rejestratorze”, choć badacze zauważają też pewne klastry wynikające z wygody operatorów.

3. Evasion na poziomie treści i „UX” oszustwa

Sygnia opisuje, że kampania utrudnia wykrywanie również warstwą contentową: podobne, ale nie identyczne grafiki i teksty, wielojęzyczność (np. chiński/portugalski/rumuński), a także serwisy sprawiające wrażenie profesjonalnych, lecz o ograniczonej głębi nawigacji.

4. Łańcuch konwersji: strona → WhatsApp/telefon → wyłudzenie

Kluczowa taktyka: strona ma „złapać” zaufanie, ale właściwa manipulacja dzieje się poza WWW. Badacze opisują schemat: skryptowane otwarcia na WhatsApp, zbieranie szczegółów wcześniejszego oszustwa, budowanie autorytetu („legal recovery”), a potem narracja „płatność dopiero po odzyskaniu”, która ma obniżyć czujność.

Praktyczne konsekwencje / ryzyko

Dla ofiar (osób prywatnych)

  • Powtórna wiktymizacja: osoba już po stracie pieniędzy jest bardziej podatna na obietnicę „odzyskania” i może ujawnić więcej informacji (dane, dokumenty, historię transakcji).
  • Kradzież danych + dalsze oszustwa: FBI/IC3 wskazuje, że fikcyjne kancelarie mogą prowadzić do kradzieży zarówno środków, jak i danych osobowych, co napędza kolejne nadużycia.

Dla firm (realnych kancelarii i marek)

  • Reputacja i zaufanie: klony stron z realnymi nazwiskami prawników i logotypami uderzają w wiarygodność, nawet jeśli firma nie ma z tym nic wspólnego.
  • Ryzyko prawne i operacyjne: zgłoszenia od klientów, incident response, komunikacja kryzysowa, a czasem lawina skarg i prób „weryfikacji” przez partnerów.

Rekomendacje operacyjne / co zrobić teraz

1. Dla organizacji (kancelarie, marki, działy bezpieczeństwa)

  1. Monitoring brand abuse: cykliczne polowanie na klony po logotypach i fragmentach treści (reverse image search, detekcja podobieństwa DOM, brand keywords). Sygnia wskazuje, że pivoty po unikalnych elementach (np. logotypy) realnie pomagały odkrywać kolejne domeny.
  2. DMARC/SPF/DKIM + monitoring domen podobnych (typosquatting/lookalike).
  3. Playbook takedown: równoległe ścieżki zgłoszeń do rejestratora, dostawcy hostingu, Cloudflare oraz do wyszukiwarek (abuse reports), z gotowymi szablonami dowodów.
  4. Weryfikowalność kontaktu: na stronie firmy wyeksponuj zasady kontaktu (numery, kanały, brak WhatsApp jeśli nieużywany), oraz procedurę „jak sprawdzić, czy to my”.
  5. Threat intel: zbieraj i koreluj IOC/IOA (numery telefonów, identyfikatory analityk, wzorce hostingu). Sygnia pokazuje, że nawet rzadkie overlap’y (np. identyfikatory) są wartościowe.

2. Dla użytkowników (praktyczna checklista)

  • Sprawdź „głębię” serwisu: prawdziwe kancelarie zwykle mają rozbudowane treści, publikacje, polityki, realne dane rejestrowe, profile prawników; klony bywają płytkie i „puste” w środku.
  • Weryfikuj kanał kontaktu: jeśli strona natychmiast wypycha na WhatsApp/telefon — to czerwone światło.
  • Nie wysyłaj dokumentów „na start” (dowód, wyciągi, screeny portfeli krypto) bez niezależnej weryfikacji kancelarii. FBI/IC3 podkreśla ryzyko kradzieży danych i środków.
  • Sprawdź domenę (wiek, historia, literówki) i poszukaj kancelarii w oficjalnych rejestrach/izbach.
  • Zgłaszaj domeny: w PL dodatkowo możesz zgłaszać phishing/scam do ekosystemu blokad i ostrzeżeń (model podobny do „rotacji domen” jest powszechny).

Różnice / porównania z innymi przypadkami

  • „Assembly line” oszustw vs klasyczny phishing: Trend Micro opisywał, jak AI obniża próg wejścia i umożliwia budowę „taśm produkcyjnych” scamów (szybciej, taniej, na większą skalę). To dobrze pasuje do obserwacji Sygnia o batchowym wdrażaniu domen i o jakości treści „jak od prawdziwej firmy”.
  • Ostrzeżenia FBI/IC3: model „fikcyjnej kancelarii” jest na radarze organów ścigania od co najmniej 2024 r., ale teraz dochodzi warstwa operacyjnej odporności infrastruktury i masowej automatyzacji tworzenia serwisów podszywających się pod realne podmioty.

Podsumowanie / kluczowe wnioski

Ta kampania nie jest ciekawostką, tylko sygnałem kierunku: oszustwa będą coraz bardziej „produktowe” — z rozproszoną infrastrukturą, automatyzacją treści i presją na przeniesienie rozmowy poza stronę, gdzie trudniej o monitoring i dowody. Dochodzenie Sygnia pokazuje, że skuteczna obrona to połączenie brand protection, threat intelligence i procedur takedown, a po stronie użytkownika — prosta zasada: jeśli obietnica brzmi jak ratunek po poprzedniej stracie, zweryfikuj ją podwójnie.

Źródła / bibliografia

  1. Sygnia – Inside a Sophisticated Recovery Scam Network: Evidence from a Live Investigation into Legal Services Impersonation (5 lutego 2026). (Sygnia)
  2. SecurityWeek – Researchers Expose Network of 150 Cloned Law Firm Websites in AI-Powered Scam Campaign (5 lutego 2026). (SecurityWeek)
  3. FBI IC3 – Fictitious Law Firms Targeting Cryptocurrency Scam Victims (PSA, 2024/2025). (Internet Crime Complaint Center)
  4. CERT Polska – Warning List (lista ostrzeżeń przed niebezpiecznymi stronami). (CERT Polska)
  5. Trend Micro – Reimagining Fraud Operations: The Rise of AI-Powered Scam Assembly Lines (18 listopada 2025). (www.trendmicro.com)