Les pirates abusent de la popularité d'OpenClawen diffusant de faux « programmes d'installation » sur GitHub, relayés par les résultats de recherche de Bing AI, afin de distribuer des logiciels malveillants destinés à voler des informations et des proxys, au lieu de l'assistant IA recherché par les utilisateurs.
OpenClaw est un agent IA open source et auto-hébergé qui s'exécute localement sur votre machine avec des autorisations étendues : il peut lire et écrire des fichiers, exécuter des commandes shell, interagir avec des applications de chat, des e-mails, des calendriers et des services cloud. En d'autres termes, si vous l'intégrez à votre vie numérique, il pourrait finir par gérer l'accès à de nombreuses données sensibles.
Et, comme c'est souvent le cas, la popularité entraîne l'usurpation d'identité de la marque. Selon chercheurs Chez Huntress, les pirates ont créé des dépôts GitHub malveillants se faisant passer pour Windows OpenClaw, notamment un dépôt appelé openclaw-installer. Ces messages ont été ajoutés le 2 février et sont restés en ligne jusqu'au 10 février environ, date à laquelle ils ont été signalés et supprimés.
Les résultats de recherche Bing ont dirigé les victimes vers ces référentiels GitHub. Mais lorsque la victime a téléchargé et exécuté le faux programme d'installation, celui-ci ne lui a pas fourni OpenClaw. Le programme d'installation a directement déposé Vidar, un célèbre voleur d'informations, dans la mémoire. Dans certains cas, le chargeur a également déployé GhostSocks, transformant ainsi le système de la victime en un nœud proxy résidentiel par lequel les criminels pouvaient acheminer leur trafic afin de dissimuler leurs activités.
Comment rester en sécurité
La bonne nouvelle, c'est que cette campagne semble avoir été de courte durée et qu'il existe des indicateurs clairs et des mesures d'atténuation que vous pouvez utiliser.
Si vous avez récemment téléchargé un programme d'installation OpenClaw depuis GitHub après avoir recherché « OpenClaw Windowsdans Bing, en particulier début février, vous devez considérer que votre système est compromis jusqu'à preuve du contraire.
Vidar peut voler les identifiants de connexion au navigateur, les portefeuilles cryptographiques et les données d'applications telles que Telegram. GhostSocks transforme silencieusement votre machine en un nœud proxy pour le trafic d'autres personnes. Il ne s'agit pas seulement d'un problème de confidentialité. Cela peut vous entraîner dans des enquêtes pour abus lorsque les attaques d'une autre personne semblent provenir de votre adresse IP.
Si vous pensez avoir exécuté un faux programme d'installation :
- Déconnectez l'ordinateur de votre réseau, puis effectuez une analyse complète du système à l'aide d'une solution anti-malware réputée et à jour.
- Modifiez les mots de passe des services critiques (messagerie électronique, services bancaires, cloud, comptes de développeurs) et effectuez cette opération sur un autre appareil, qui n'a pas été utilisé pour accéder à ces services.
- Vérifiez les connexions et sessions récentes afin de détecter toute activité inhabituelle, et activez l'authentification multifactorielle (MFA) si ce n'est déjà fait.
Si vous souhaitez tout de même utiliser OpenClaw :
- Exécutez OpenClaw (ou des agents similaires) dans une machine virtuelle ou un conteneur en mode sandbox sur des hôtes isolés, avec un refus par défaut des sorties et des listes d'autorisation strictement délimitées.
- Donnez au runtime ses propres identités de service non humaines, un privilège minimal, une durée de vie courte des jetons et aucun accès direct aux secrets de production ou aux données sensibles.
- Considérez l'installation de compétences/extensions comme l'introduction d'un nouveau code dans un environnement privilégié : limitez les registres, validez la provenance et surveillez les compétences rares ou nouvellement apparues.
- Enregistrer et examiner périodiquement la mémoire/l'état et le comportement de l'agent afin de détecter les changements durables dans les instructions, en particulier après l'ingestion de contenu non fiable ou de flux partagés.
- Comprenez et préparez-vous à l'éventualité où vous devrez tout effacer et tout reconstruire : conservez à portée de main des instantanés non sensibles de l'état actuel, documentez un guide de reconstruction et de rotation des identifiants, et répétez-le.
- Exécutez unesolution anti-malwareà jour et en temps réel capable de détecter les voleurs d'informations et autres logiciels malveillants.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
