AI, Nieuws, Oplichting

Pas op voor valse OpenClaw-installatieprogramma's, zelfs als Bing je naar GitHub verwijst.

door Pieter Arntz | 6 maart 2026
nep-OpenClaw-klonen

Aanvallers maken misbruik van de populariteit van OpenClawdoor valse 'installatieprogramma's' op GitHub te plaatsen, die worden gepromoot door Bing AI-zoekresultaten, om infostealers en proxy-malware te verspreiden in plaats van de AI-assistent waar gebruikers naar op zoek waren.

OpenClaw is een open-source, zelfgehoste AI-agent die lokaal op uw computer draait met uitgebreide rechten: hij kan bestanden lezen en schrijven, shell-opdrachten uitvoeren en communiceren met chat-apps, e-mail, agenda's en clouddiensten. Met andere woorden, als u hem aan uw digitale leven koppelt, kan hij uiteindelijk toegang krijgen tot veel gevoelige gegevens.

En, zoals het is vaak het geval, populariteit leidt tot merkimitatie. Volgens onderzoekers Bij Huntress hebben aanvallers kwaadaardige GitHub-repositories gemaakt die zich voordeden als OpenClaw Windows , waaronder een repository met de naam openclaw-installerDeze werden op 2 februari toegevoegd en bleven staan tot ongeveer 10 februari, toen ze werden gemeld en verwijderd.

De zoekresultaten van Bing leidden slachtoffers naar deze GitHub-repositories. Maar toen het slachtoffer het valse installatieprogramma downloadde en uitvoerde, kreeg het helemaal geen OpenClaw. Het installatieprogramma plaatste Vidar, een bekende informatiedief, rechtstreeks in het geheugen. In sommige gevallen implementeerde de loader ook GhostSocks, waardoor het systeem van het slachtoffer in feite werd omgevormd tot een residentieel proxyknooppunt waar criminelen hun verkeer doorheen konden leiden om hun activiteiten te verbergen.

Hoe blijf ik veilig

Het goede nieuws is dat de campagne van korte duur lijkt te zijn geweest en dat er duidelijke indicatoren en maatregelen zijn die u kunt gebruiken.

Als u onlangs een OpenClaw-installatieprogramma hebt gedownload van GitHub nadat u in Bing hebt gezocht op 'OpenClaw Windows, met name begin februari, moet u ervan uitgaan dat uw systeem is gecompromitteerd totdat het tegendeel is bewezen.

Vidar kan browsergegevens, crypto-wallets en gegevens uit applicaties zoals Telegram stelen. GhostSocks verandert uw computer stilletjes in een proxy-node voor het verkeer van anderen. Dat is niet alleen een privacykwestie. Het kan u ook in een onderzoek naar misbruik betrekken wanneer aanvallen van anderen afkomstig lijken te zijn van uw IP-adres.

Als u vermoedt dat u een vals installatieprogramma hebt uitgevoerd:

  • Koppel de machine los van uw netwerk en voer vervolgens een volledige systeemscan uit met een betrouwbare, up-to-date anti-malwareoplossing.
  • Wijzig wachtwoorden voor kritieke diensten (e-mail, bankieren, cloud, ontwikkelaarsaccounts) en doe dat op een ander, schoon apparaat.
  • Controleer recente aanmeldingen en sessies op ongebruikelijke activiteiten en schakel multi-factor authenticatie (MFA) in als u dat nog niet hebt gedaan.

Als je nog steeds van plan bent om OpenClaw te gebruiken:

  • Voer OpenClaw (of vergelijkbare agents) uit in een sandboxed VM of container op geïsoleerde hosts, met standaard geweigerde uitgaande verkeer en strikt afgebakende toegestane lijsten.
  • Geef de runtime zijn eigen niet-menselijke service-identiteiten, minimale rechten, korte tokenlevensduur en geen directe toegang tot productiegeheimen of gevoelige gegevens.
  • Behandelextensie als het introduceren van nieuwe code in een bevoorrechte omgeving: beperk registers, valideer de herkomst en controleer op zeldzame of nieuw waargenomen vaardigheden.
  • Registreer en controleer regelmatig het geheugen/de status en het gedrag van agents op duurzame instructiewijzigingen, vooral na het opnemen van onbetrouwbare inhoud of gedeelde feeds.
  • Begrijp en bereid u voor op het geval dat u alles moet wissen en opnieuw moet opbouwen: houd niet-gevoelige snapshots van de status bij de hand, documenteer een draaiboek voor herbouw en rotatie van inloggegevens, en oefen dit.
  • Gebruik een up-to-date, realtimeantimalware-oplossingdie informatiedieven en andere malware kan detecteren.

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Product
Een illustratie van een fysiek apparaat voor het versnipperen van documenten, waarbij het papier wordt versnipperd tot pixelachtige stukjes en beetjes.

Windows Shredder: wanneer het verwijderen van een bestand niet voldoende is

Maart 5, 2026

Met File Shredder voor Windows Malwarebytes u een bestand of map echt, daadwerkelijk en volledig verwijderen van uw harde schijf of USB-stick.

Nieuws
Chinese Muur

Wil het Verenigd Koninkrijk VPN's echt verbieden? En is dat wel mogelijk?

Maart 4, 2026

Berichten over een "Great British Firewall" zijn overdreven. En zelfs als ze dat zouden willen, zou het om de volgende redenen vrijwel onmogelijk zijn.

Nieuws
Het is een valstrik OAuth-omleidingen

Aanvallers misbruiken de ingebouwde omleidingen van OAuth om phishing- en malware-aanvallen uit te voeren.

Maart 4, 2026

Onderzoekers hebben ontdekt dat aanvallers OAuth misbruiken om gebruikers van legitieme inlogpagina's van Microsoft of Google naar phishing-sites of malware-downloads te leiden.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting