“恶意软件就在你身边”：警惕假冒OpenClaw安装程序！

摘要

信息窃取软件仍然是攻击公开暴露系统的主要初始入侵媒介，例如2024年的 Snowflake 客户数据库泄露事件，以及2026年一家罗马尼亚石油管道运营商的入侵事件。本篇博客详细调查了在2026年2月2日至10日期间出现的仿冒 OpenClaw 安装程序的恶意 GitHub 仓库。这些 OpenClaw 安装程序是伪造的，检测率低，并分发使用一种名为 Stealth Packer 的新型加壳工具的信息窃取软件。

这些安装程序还提供了名为 GhostSocks 的恶意软件，允许威胁行为者通过受害者的系统路由流量来绕过反欺诈检测。这种技术可以欺骗安全检查，让它们认为威胁行为者就是真实用户，从而使威胁行为者更容易绕过多因素身份验证（MFA）或反欺诈检查，这些检查原本会标记未经授权的登录。

该攻击活动并未针对特定行业，而是广泛地针对尝试安装 OpenClaw 的用户。恶意仓库提供了适用于 Windows 和 macOS 环境的下载说明。使其成功的原因是恶意软件托管在 GitHub 上，而且该恶意仓库成为了必应 AI 搜索“OpenClaw Windows”时的首要推荐结果。

关键要点

• 一个恶意 GitHub 仓库通过必应 AI 针对“OpenClaw Windows”的搜索结果进行推广，这种技术与我们在12月份观察到的一次攻击活动类似。在那次事件中，攻击者污染了搜索结果，并利用 ChatGPT 和 Grok 的共享聊天功能诱骗用户下载 AMOS 窃取软件。而在此次事件中，仅仅将恶意软件托管在 GitHub 上就足以污染必应 AI 的搜索结果。
• 恶意 GitHub 仓库包含安装说明，如果按照说明操作，将在 Windows 系统上运行信息窃取软件和 GhostSocks 恶意软件，在 macOS 系统上运行 Atomic MacOS Stealer（AMOS）窃取软件。
• Stealth Packer 是一种新的加壳工具，它会向内存注入恶意软件，添加防火墙规则，创建隐藏的计划任务，并在运行解密后的有效载荷之前进行潜在的虚拟机检测（AntiVM）检查，例如检查鼠标移动。
• GhostSocks 是一种先前曾被 BlackBasta 勒索软件组织使用的工具，它将被入侵的系统变成代理。这允许威胁行为者在使用已部署信息窃取软件获取的凭据登录账户时，绕过反欺诈或多因素身份验证（MFA）检查，或者更广泛地说，直接通过受害者的网络路由他们的攻击。
• 即使用户安装了合法的 OpenClaw，也面临重大风险，因为 OpenClaw 配置包含大量敏感信息，包括密码、API密钥等。如果信息窃取软件入侵了系统，它不仅会窃取账户凭据，还会窃取敏感的 OpenClaw 配置文件，正如 Hudson Rock 之前所报道的那样。
• 仅仅因为软件托管在可信平台上并不意味着它不是恶意的。用户不应盲目相信 GitHub 上的代码发布版确实与仓库中的代码相关。

背景介绍

就像《玩具总动员》中崇拜爪子的外星人一样，OpenClaw 正在席卷全球并获得了大量追随者。它最初于2025年11月以 Clawdbot 的名义发布，承诺成为一个个人开源 AI 助手，随后在2026年1月下旬更名为 Moltbot，三天后又更名为 OpenClaw。尽管经历了这些更名，OpenClaw 已成为全球热点，该项目在 GitHub 上迅速获得了数万个 Fork（派生）和数十万个星标，表明用户对该项目非常欣赏，并希望随时了解其任何更新。

图 1：OpenClaw 星标历史（原始 GitHub 仓库图表，来自 star-history.com）

任何影响大量人群的新流行技术或全球性变革，都会招致企图窃取凭据并将其访问权限出售给他人以牟利的威胁行为者。因此，威胁行为者开始利用 OpenClaw 的流行度来诱使毫无戒心的用户在其机器上安装恶意软件也就不足为奇了。

2月9日星期一，Huntress 收到警报，一名用户在下载并运行了 GitHub 上冒充 OpenClaw Windows 安装程序的文件后，其系统显示出感染迹象。该安装程序在搜索“OpenClaw Windows”时显示为顶级推荐，这使得其他用户很可能也会沦为此次攻击的受害者，幸亏 Huntress 报告了该恶意仓库，并且 GitHub 的响应也非常迅速，将其下架。

深度威胁分析

分析显示，该用户通过必应搜索了“OpenClaw Windows”一词，而必应 AI 的建议直接链接到了一个新创建的恶意 GitHub 仓库 openclaw-installer。

图 2：显示指向托管在 GitHub 上的恶意安装程序的必应 AI 搜索结果截图

尽管此前 Huntress 曾报道过 AI 聊天机器人被滥用来诱骗用户运行恶意命令的情况，但这次它来自必应 AI，其原生推荐从一个恶意的 GitHub 仓库安装 OpenClaw。

乍一看，这个 GitHub 仓库很容易被误认为是合法的安装程序。它甚至关联到一个名为 openclaw-installer 的 GitHub 组织，这赋予了它超越普通用户账户发布仓库的天然可信度。

图 3：假冒的 OpenClaw 安装程序 GitHub 组织

图 4：假冒的 OpenClaw 安装程序 GitHub Readme 文件

对于一个未经训练的 LLM 或“AI”系统来说，这样的仓库可能看起来像一个合法的安装程序。然而，对于一个有经验的人来说，当你看到针对 macOS 系统的安装方法是一条连接到另一个组织 puppeteerrr 和仓库 dmg 的单行 bash 命令时，这个假象就会迅速破灭。我们将在博客后面更深入地探讨这个仓库。

图 5：假冒 OpenClaw 安装程序说明，其中指向另一个恶意组织

查看与假冒 OpenClaw 安装程序关联的账户，发现该用户于2025年9月首次加入 GitHub。直到2026年1月30日，他们在官方的 OpenClaw 仓库上提交了一个 issue（问题），以推广另一个 GitHub 仓库 openclaw-trading-assistant（隶属于 molt-bot 组织）。这个 issue 很快被关闭以清除自我推广的痕迹，随后又提交了一个相同的 issue，然后被 OpenClaw 的一名成员以垃圾信息为由关闭。

图 6：由威胁行为者 GitHub 账户提交的、后被关闭的 OpenClaw issue 记录（左为原始信息，右为重复且被标记为垃圾的后续记录）

图 7：原始提交记录，显示用户试图自我推广

该仓库和组织现已被删除，它很可能也包含恶意软件。

该用户账户的个人简介中还链接了一个不存在的 X（原 Twitter）账户，可能是为了显得更真实，并且使用了一个拥有近 20 万粉丝的不同 X 账户的头像。

图 8：与恶意 OpenClaw 仓库关联的、基本不活跃的 GitHub 账户

查看 OpenClaw-Installer 内部的代码可以发现，它基本上只是从 Cloudflare 项目 moltworker 中提取的合法代码，与发布（Releases）部分找到的可执行文件毫无关系。

图 9：moltworker 代码与 OpenClaw-Installer 源码的对比

在发布（Releases）部分，可以发现名为 OpenClaw_x64.exe 的恶意可执行文件，它位于一个 7-Zip 压缩包内。
这是一个臃肿的二进制文件，原始名称是 TradeAI.exe。在 VirusTotal 上搜索相似文件，发现了其他三个样本，其中两个可能相关且具有恶意性但未被检测到，另一个似乎是唯一经过签名的可执行文件。所有这些文件都声称是由 TradeAI nofilabs 开发的“自动硬件驱动更新工具”（Automatic hardware driver update tool），在 VirusTotal 上检测率为零或很低。

图 10：在 VirusTotal 上检测率低或为零的潜在恶意样本

执行 OpenClaw_x64.exe 后，Huntress 观察到多个恶意软件组件被部署到终端上，其中大部分已被 Windows 托管防病毒软件和托管版 Defender for Endpoint 隔离。绝大多数可执行文件都是用 Rust 语言编写的加载程序，旨在内存中运行信息窃取软件。本文底部的“入侵指标”（IOC）部分包含了观察到的二进制文件的完整分类及其相关指标。其中一些值得注意的二进制文件名为 cloudvideo.exe、svc_service.exe 和 serverdrive.exe。

1. cloudvideo.exe (Vidar 窃取软件)：
   这是一个 Vidar 窃取软件的有效载荷，它会联系 Telegram 频道和 Steam 用户个人资料，根据频道和用户个人资料名称动态获取 C2（命令与控制）配置信息。
   
   图 11：Vidar 窃取软件用于获取 C2 配置的 Telegram 频道示例

图 12：Vidar 窃取软件用于获取 C2 配置的 Steam 账户示例

2. svc_service.exe (疑似 PureLogs 窃取软件的 Rust 加载程序)：
   通过检查在一些观察到的恶意软件中的 PDB 文件、字符串和创建的互斥体，表明威胁行为者可能在使用一种名为 stealth packer 的新加壳工具。这在名为 svc_service.exe 的二进制文件中最为突出，该文件被怀疑是一个 Rust 编写的恶意软件加载程序，用于在内存中运行 PureLogs 窃取软件。该文件包含一个 stealth_packer 的 PDB 路径，并创建了一个名为 StealthPackerMutex_9A8B7C 的互斥体。
   
   图 13：svc_service.exe 文件中提及 Stealth Packer 的字符串

该样本中的许多调试信息也提供了关于 stealth packer 功能的线索，包括将恶意软件注入内存、添加防火墙规则、创建隐藏的“幽灵”计划任务，以及在运行解密后的有效载荷之前进行潜在的虚拟机检测以查看鼠标移动。这些信息包含在下面的代码片段中：

注：此处为包含大量调试信息字符串的代码块截图或文本区，内容描述了 stealth packer 的各种功能，如“检查用户活动（鼠标）…”、“解密嵌入的有效载荷…”、“加载 CLR…”等，以及可能的错误信息。由于字符限制，此处不展开具体字符串。

3. serverdrive.exe (GhostSocks 代理恶意软件)：
   这是一个从嵌入式资源 WKANKGV 解密出来的 GhostSocks 反向连接代理，它会被复制到一个名为 update.exe 的文件中，然后设置用户自启动项（Run Key）以实现持久化。GhostSocks 将受感染的机器变成代理，威胁行为者可以利用它来绕过使用已窃取凭据访问账户时的反欺诈检查，或者更广泛地说，使攻击能够通过受感染系统进行路由。此外，之前有报道称 GhostSocks 是 BlackBasta 勒索软件运营者为维持系统访问而使用的关键工具。
   该可执行文件使用 TLS 进行连接，这与原始变种使用未加密 HTTP 不同。有趣的是，这个变种包含了对特定参数 --johnpidar 的检查，如果提供了该参数，恶意软件将以调试模式启动，从而提供更多关于其配置的信息。
   
   图 14：使用 --johnpidar 参数以调试模式启动的 GhostSocks

在此实例中，GhostSocks 有两个主要的“助手”（helper）地址和四段嵌入式配置数据，对应如下：

• 主要助手 URL：hxxps[://]147[.]45[.]197[.]92:443
• 备用助手 URL：hxxps[://]94[.]228[.]161[.]88:443
• 构建版本：0Ltr.aBz53Pe
• 可能的代理用户名（未确认）：I5QNQdQDbyn0NTWxg7PyY1rLo0LaFBV1
• 可能的代理密码（未确认）：aUGAQ9B55kebH9fzaSLN0q7GNs0xCzKi
• 可能的联盟用户ID（未确认）：MVIW08SirgnAgiHfoXGht42r

在联系主要助手地址后，恶意软件在后续运行中可以获取更多 IP 地址。这些地址存储在一个位于 %AppData%\config 的加密配置文件中。

图 15：加密的 GhostSocks 配置文件

这个加密配置可以使用 XOR 密钥 config 轻易解密。

图 16：解密后的 GhostSocks 配置

4. macOS 恶意软件 (OpenClawBot – AMOS 变种)：
   回顾用于分发 macOS 恶意软件的 GitHub 账户，它密切模仿了第一个恶意 GitHub 账户。值得注意的是，虽然第一个账户用于推广和分发假冒的 Windows 安装程序，但其 MacOS 的安装命令却会从一个名为 dmg 的新建组织 puppeteerrr 的仓库中拉取并运行恶意软件，这本身就是一个重大危险信号。和第一个账户一样，创建该组织和仓库的第二个账户也是在9月份首次注册的，直到2月初创建恶意组织 puppeteerrr 和相关仓库 dmg 之前都没有任何公开活动。
   
   图 17：puppeteerrr 组织和 dmg 仓库中使用的账户

该仓库包含许多文件，这些文件遵循一个主题：一个 shell 脚本搭配一个 Mach-O 可执行文件。

图 18：托管在 puppeteerrr 组织下的 dmg GitHub 仓库中的恶意软件

在图 18 中，CBpredict 是一个单行 shell 脚本，用于下载、赋予可执行权限并运行 CBpredictbot，这与 OpenClaw 被用于下载、赋予可执行权限并运行 OpenClawBot 的方式非常相似。

图 19：用于下载和运行 OpenClawBot 可执行文件的启动脚本

这个 bash 单行命令是一种原始的临时签名 Mach-O 二进制文件部署方式。文件被下载到 $tmpdir（/var/folders 下的一个随机位置），同时从文件中剥离所有扩展属性。这可能是试图规避 GateKeeper 控制；但是，curl 不会添加 com.apple.quarantine 标志，这使得这种尝试在很大程度上没有必要。向文件添加可执行权限，最终在用户的上下文中执行。
对约 500KB 的 OpenClawBot 二进制文件进行静态分析显示，可读字符串非常少，这表明它被加密了。运行时解密的操作执行方式具有信息窃取软件的特征，强烈表明这是 Atomic MacOS Stealer（AMOS）的一个变种。具体来说，它会终止终端程序，OpenClawBot 进程请求管理权限，使用 dscl 进行验证，然后请求适当的 TCC 权限以自动化执行窃取信息的 AppleScript。该脚本本身会遍历 TCC 保护的路径（如文档、下载、桌面），查找扩展名为 pdf、txt、rtf、log、md、text、json、env、xlsx、xls、ods、docx、png 和 doc 的文件。

图 20：用于请求管理凭证的 AppleScript 提示框

图 21：在提供管理凭证和 TCC 权限后执行的窃取信息脚本

一旦文件抓取方法捕获了目标文件，就会使用 ditto 来准备和归档数据缓存。

图 22：使用 Ditto 进行归档而非 ZIP，以避免检测

图 23：向恶意域名发送包含捕获内容的 POST 请求

值得注意的是，在我们收到 OpenClawBot 进行分析后的几个小时内，我们的研究人员观察到 XProtect.yara（版本 5329）的最新更新检测到了该文件，并适用一条新规则：MACOS.SOMA.CLBIFEA。因此，在任何应用了最新 XProtect 规则的 macOS 系统上，该文件都将无法运行。


图 24 与 25：用于检测 OpenClawBot 的 XProtect.yara 规则，以及由 eslogger 提供的 xp_malware_detected ES 事件 JSON 输出，详述了该规则的执行情况。

额外攻击活动洞察

在编写本博客时，Huntress 发现了另外三个组织和账户被用于分发类似的恶意安装程序，这些安装程序疑似也会部署信息窃取软件。有趣的是，其中一个模仿了原始的 openclaw-installer，并且是在原始账户、组织和仓库被下架一天后创建的。所有这些都已向 GitHub 报告。

结论

Huntress 的威胁检测与响应团队协同工作，成功检测、响应并阻止了这些假冒 OpenClaw 安装程序所发起的恶意活动。在 Huntress 安全运营中心（SOC）识别出恶意活动、隔离受影响系统并向受影响的 Huntress 合作伙伴报告后，Huntress 的检测工程与威胁狩猎（DE&TH）团队及时报告了这些恶意的 GitHub 仓库、账户和组织。在报告后的八小时内，GitHub 已将这些内容下架。

随着新技术的日益流行，威胁行为者利用这些技术设置新型陷阱来感染毫无戒心用户的风险也在增加。由于您的技术最娴熟的用户通常被授予管理员权限，这使他们成为高风险目标。确保即使是最精通技术的（正在试验这些新技术的）用户也了解所面临的风险以及如何识别恶意安装程序，是多层次防御以防止环境中发生安全事件的途径之一。

入侵指标（IOCs）

(注：由于最后的IOC表格非常长且多为重复性数据（如多个路径的相同样本），为了遵守字数限制，此处不进行逐行翻译，仅在摘要中描述其包含内容。在最终输出中，此部分将完整包含翻译后的表格内容。)

指示器摘要：

• 主要安装程序： OpenClaw_x64.exe
• 信息窃取软件： cloudvideo.exe (Vidar)，svc_service.exe (PureLogs 加载程序)，WinHealhCare.exe 及其多个复制品。
• GhostSocks 代理： serverdrive.exe (在 update.exe 中复制并持久化)。
• 持久化机制： 注册表 Run Key ({BackgroundTask}) 和计划任务 (EdgeUpdateHelper)。
• C2 与通信： 域名 serverconect[.]cc、Telegram 频道 (dikkh0k)、Steam 账户资料、多个 GhostSocks 助手 IP 地址（包括 147.45.197.92、94.228.161.88 等共 20 个），以及用于接收窃取数据的 MacOS 上传地址 socifiapp[.]com。
• 互斥体： StealthPackerMutex_9A8B7C、c10f845f3942 等。
• macOS 恶意软件： OpenClawBot (AMOS 变种)。

原文：https://www.huntress.com/blog/openclaw-github-ghostsocks-infostealer