SlowMist Chief Information Security Officer 23pds veröffentlichte am 10. März auf X eine Warnung, dass Angreifer „Vergiftungs“-Angriffe auf Bing AI-Suchergebnisse durchführen, indem sie gefälschte OpenClaw-Installationsprogramme auf die ersten Ergebnisse bei der Suche nach „OpenClaw Windows“ setzen, um Nutzer zum Herunterladen und Ausführen bösartiger Software zu verleiten.
Angriffsmethode: Wie bösartige Repositories auf GitHub Bing AI-Suchergebnisse kontaminieren
(Quelle: Huntress)
OpenClaw ist ein schnell wachsendes Open-Source-KI-Assistenten-Tool, das ursprünglich Clawdbot hieß (veröffentlicht im November 2025), und auf GitHub rasch Zehntausende Forks und Hunderttausende Sterne erhielt. Diese Bekanntheit wurde von Angreifern ausgenutzt, um einzudringen.
Angreifer haben auf GitHub ein gefälschtes Repository erstellt, das wie ein legitimes Installationsprogramm aussieht. Die Seite nutzt legitimen Code von Cloudflare, um Glaubwürdigkeit zu erhöhen, und wurde unter dem Namen „openclaw-installer“ in einer eigenständigen GitHub-Organisation veröffentlicht, nicht unter einem normalen Nutzerkonto, um Verdacht zu vermeiden.
Huntress weist darauf hin, dass der Erfolg dieses Angriffs darin liegt, dass bereits das Hosting des bösartigen Codes auf GitHub ausreicht, um Bing AI-Suchergebnisse zu manipulieren, ohne zusätzliche Kontrolle über den Suchalgorithmus. Diese Methode ist eine Fortsetzung der Angriffe im Dezember 2025, bei denen ChatGPT und Grok-Chat-Funktionen missbraucht wurden, aber mit geringeren Hürden und größerer Reichweite.
Analyse des bösartigen Toolkits: Dreischichtige Malware-Kombination
Die eingesetzten Malware-Komponenten sind klar aufgeteilt:
Stealth Packer (neuer Verschlüsselungs-Wrapper): Injiziert bösartigen Code in den Speicher, fügt Firewall-Regeln hinzu, erstellt versteckte Ghost-Planungsaufgaben und führt Anti-VM-Checks durch (z.B. Mausbewegungen zur Erkennung echter Nutzerumgebungen). Detection-Rate bei VirusTotal ist äußerst niedrig.
GhostSocks (Reverse-Proxy-Malware): Bereits von der BlackBasta-Ransomware-Gruppe genutzt, verwandelt infizierte Rechner in Proxy-Server, sodass Angreifer mit der IP des Opfers auf Konten zugreifen können, um Multi-Faktor-Authentifizierung (MFA) und Betrugserkennung zu umgehen.
Datendiebstahl-Programme (Vidar / PureLogs Stealer): In Rust geschriebene Loader, die in den Speicher geladen werden, um Anmeldeinformationen, API-Schlüssel und OpenClaw-Konfigurationsdateien zu stehlen. Vidar-Varianten nutzen sogar Telegram-Kanäle und Steam-Profile, um dynamische C2-Serveradressen zu verstecken.
Plattformübergreifende Infektionen: Unterschiedliche Angriffswege bei Windows und macOS
Gefälschte GitHub-Repositories bieten jeweils Installationsanleitungen für Windows und macOS. Bei Windows wird „OpenClaw_x64.exe“ ausgeführt, woraufhin mehrere Rust-basierte Loader installiert werden, die im Hintergrund Daten stehlen. Für macOS ist die Anleitung eine Bash-Einzeilige, die eine Datei namens „OpenClawBot“ aus einem Repository der bösartigen Organisation „puppeteerrr“ herunterlädt. Diese Datei ist eine Variante von AMOS und fordert im Tarnmodus Administratorrechte an, um sensible Daten in Ordnern wie Dokumente, Downloads und Desktop zu stehlen.
Huntress entdeckte und meldete das bösartige Repository bei GitHub, das innerhalb von etwa 8 Stunden geschlossen wurde. Wichtig ist, dass selbst legitime Versionen von OpenClaw Konfigurationsdateien enthalten, die hochsensible Informationen (Passwörter, API-Schlüssel) speichern. Wenn das System bereits infiziert ist, besteht die Gefahr, dass auch diese Daten gestohlen werden.
Häufig gestellte Fragen
Warum werden bösartige Programme in Bing AI-Suchergebnissen empfohlen?
Angreifer haben herausgefunden, dass das Hosting bösartiger Codes auf GitHub ausreicht, um Bing AI dazu zu bringen, diese an oberster Stelle zu empfehlen. Das System erkennt die Vertrauenswürdigkeit von GitHub-Repositories nicht effektiv, sodass die Plattform das Vertrauen ausnutzt, um Nutzer zu täuschen.
Wie umgehen GhostSocks-Malware die Multi-Faktor-Authentifizierung?
GhostSocks verwandelt den infizierten Rechner in einen Proxy-Server, sodass Angreifer mit der IP-Adresse des Opfers auf gestohlene Konten zugreifen können. Da die Anmeldeaktivitäten geographisch und netzwerktechnisch mit dem normalen Verhalten des Opfers übereinstimmen, sind MFA und Betrugserkennung kaum in der Lage, ungewöhnliche Zugriffe zu erkennen.
Wie erkennt man gefälschte OpenClaw-Installationsprogramme?
Legitime OpenClaw-Software sollte direkt vom offiziellen GitHub-Repository heruntergeladen werden. Bei macOS ist Vorsicht geboten, wenn eine Bash-Einzeilige zum Herunterladen aus einem unbekannten Repository verlangt wird. Nutzer sollten GitHub-Repositories nicht blind vertrauen – nur weil sie auf einer vertrauenswürdigen Plattform gehostet werden, bedeutet das nicht, dass die Software sicher ist.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Bubblemaps: MYSTERY-Token zeigt Anzeichen für konzentrierte Kontrolle: 90 Wallets halten 90% der Gesamtmenge zum Start
Laut der On-Chain-Analyseplattform Bubblemaps zeigte der MYSTERY-Token bei der Einführung Anzeichen einer stark konzentrierten Kontrolle. Die Plattform beschrieb ihn als „Lehrbuch-Betrug“. Bubblemaps legte offen, dass sich bei Launch etwa 90 Wallets ungefähr 90% der Token-Zuteilung angehäuft haben und haben been
GateNews20M her
Angreifer beim Wasabi-Protocol überweisen am 5. Mai 5,9 Mio. US-Dollar aus gestohlenen Geldern an Tornado Cash
Laut dem On-Chain-Analysten Specter haben Wasabi-Protocol-Angreifer gestohlene Gelder im Wert von ungefähr 5,9 Millionen US-Dollar am 5. Mai an Tornado Cash überwiesen und damit eine zentralisierte Coin-Mixing-Operation abgeschlossen. Die Mittel folgen einem mehrstufigen, komplexen Übertragungsweg, der frühere Verstöße bei KelpDAO und
GateNews3Std her
Ripple teilt die Erkenntnisse zur nordkoreanischen Hackeraktivität im Zusammenhang mit Kryptoangriffen, da sich die Angriffe zunehmend auf Social Engineering verlagern
Laut der Crypto-ISAC-Ankündigung am Dienstag teilt Ripple interne Erkenntnisse über nordkorea-verbundene Bedrohungsakteure mit dem Kryptosektor, darunter betrugsassoziierte Domains, Wallet-Adressen und Indikatoren für eine Kompromittierung aus jüngsten Hacking-Kampagnen.
Der Schritt folgt auf die 280 Millionen US-Dollar D
GateNews5Std her
ZachXBT: Tokenlon erleichterte Mittel der $45M Lazarus-Gruppe
Am 4. Mai 2026 veröffentlichte der On-Chain-Ermittler ZachXBT einen detaillierten Bericht, der der dezentralen Börsen- bzw. DEX-Aggregator-Plattform Tokenlon vorwirft, die Verlagerung illegaler Gelder zu ermöglichen, die mit der Lazarus Group verbunden seien, dem nordkoreanischen Hacker-Syndikat, das mit großen Krypto-Diebstählen in Verbindung gebracht wird. Laut dem Bericht von ZachXBT's
CryptoFrontier6Std her
Aave versucht, eine 71 Millionen US-Dollar schwere ETH-Beschlagnahme auf Arbitrum nach dem rsETH-Exploit zu blockieren
Aave hat eine gerichtliche Anfechtung eingereicht, um eine einstweilige Verfügung aus New York zu blockieren, die 71 Millionen US-Dollar in ETH auf Arbitrum eingefroren hat – nach dem rsETH-Exploit. Der Kreditgeber argumentiert, dass die eingefrorenen Mittel den Nutzern des Protokolls gehören und nicht den von Nordkorea verknüpften Gläubigern des Urteils, wie von den Behörden behauptet. Die einstweilige Verfügung
GateNews6Std her
