ИИ, Новости, Мошенничество

Остерегайтесь поддельных установщиков OpenClaw, даже если Bing направляет вас на GitHub.

Автор: Pieter Arntz | 6 марта 2026 г.
поддельные клоны OpenClaw

Злоумышленники злоупотребляют популярностью OpenClaw, размещая на GitHub поддельные «установщики», продвигаемые результатами поиска Bing AI, чтобы вместо искусственного интеллекта, который ищут пользователи, доставить им программы для кражи информации и прокси-вредоносное ПО.

OpenClaw — это открытый самохостируемый ИИ-агент, который работает локально на вашем компьютере с широкими правами доступа: он может читать и записывать файлы, запускать команды оболочки, взаимодействовать с приложениями для чата, электронной почтой, календарями и облачными сервисами. Другими словами, если вы подключите его к своей цифровой жизни, он может в конечном итоге получить доступ ко многим конфиденциальным данным.

И, как и часто бывает, популярность приводит к подделке бренда. Согласно исследователи в Huntress злоумышленники создали вредоносные репозитории GitHub, выдавая их за Windows OpenClaw Windows , в том числе репозиторий под названием openclaw-installer. Они были добавлены 2 февраля и провисели примерно до 10 февраля, когда о них сообщили и удалили.

Результаты поиска Bing направляли жертв в эти репозитории GitHub. Но когда жертва скачивала и запускала поддельный установщик, она вовсе не получала OpenClaw. Установщик помещал Vidar, известный инструмент для кражи информации, прямо в память. В некоторых случаях загрузчик также развертывал GhostSocks, эффективно превращая систему жертвы в прокси-узел, через который преступники могли направлять свой трафик, чтобы скрыть свою деятельность.

Как оставаться в безопасности

Хорошая новость заключается в том, что кампания, по всей видимости, была кратковременной, и существуют четкие индикаторы и меры по смягчению последствий, которые вы можете использовать.

Если вы недавно скачали установщик OpenClaw с GitHub после поиска «OpenClaw Windowsв Bing, особенно в начале февраля, вам следует считать, что ваша система скомпрометирована, пока не будет доказано обратное.

Vidar может похищать учетные данные браузера, криптовалютные кошельки и данные из приложений, таких как Telegram. GhostSocks незаметно превращает ваш компьютер в прокси-узел для трафика других людей. Это не только проблема конфиденциальности. Это может втянуть вас в расследование злоупотреблений, когда атаки других людей будут казаться исходящими с вашего IP-адреса.

Если вы подозреваете, что запустили поддельный установщик:

  • Отключите компьютер от сети, а затем запустите полное сканирование системы с помощью надежного и обновленного антивирусного решения.
  • Измените пароли для важных сервисов (электронная почта, банковские счета, облачные сервисы, учетные записи разработчиков) и сделайте это на другом, чистом устройстве.
  • Просмотрите недавние входы в систему и сеансы на предмет необычной активности и включите многофакторную аутентификацию (MFA), если вы еще этого не сделали.

Если вы все еще намерены использовать OpenClaw:

  • Запустите OpenClaw (или аналогичные агенты) в виртуальной машине с изолированной средой или контейнере на изолированных хостах с запретом исходящего трафика по умолчанию и строго ограниченными списками разрешенных адресов.
  • Предоставьте среде выполнения собственные идентификаторы служб, не относящиеся к пользователям, минимальные привилегии, короткий срок действия токенов и отсутствие прямого доступа к производственным секретам или конфиденциальным данным.
  • Относитесь к установке навыков/расширений как к внедрению нового кода в привилегированную среду: ограничивайте реестры, проверяйте происхождение и отслеживайте редкие или новые навыки.
  • Регистрируйте и периодически проверяйте память/состояние и поведение агента на предмет устойчивых изменений инструкций, особенно после приема недоверенного контента или общих фидов.
  • Поймите и подготовьтесь к ситуации, когда вам может понадобиться полная переустановка системы: держите под рукой неконфиденциальные снимки состояния системы, составьте инструкцию по переустановке и смене учетных данных и отрепетируйте ее.
  • Используйте современноеантивирусное решение, работающее в режиме реального времени, которое может обнаруживать программы-похитители информации и другое вредоносное ПО.

Мы не просто сообщаем об угрозах - мы их устраняем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.

Об авторе

Питер Арнтц

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.

ПОСЛЕДНИЕ СТАТЬИ

Продукт
Иллюстрация устройства для физического уничтожения файлов, в котором бумага измельчается на пиксельные кусочки.

Windows Shredder: когда удаления файла недостаточно

Март 5, 2026

File Shredder для Windows Malwarebytes действительно, на самом деле, полностью удалить файл или папку с жесткого диска или USB-накопителя.

Новости
Великая китайская стена

Действительно ли Великобритания хочет запретить VPN? И возможно ли это?

Март 4, 2026

Сообщения о «Великом британском файрволе» преувеличены. И даже если бы они захотели, вот почему это было бы практически невозможно.

Новости
Это ловушка OAuth-перенаправления

Злоумышленники злоупотребляют встроенными перенаправлениями OAuth для проведения фишинговых атак и атак с использованием вредоносного ПО.

Март 4, 2026

Исследователи обнаружили, что злоумышленники злоупотребляют OAuth, чтобы перенаправлять пользователей с легитимных страниц входа в Microsoft или Google на фишинговые сайты или сайты для загрузки вредоносных программ.

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы