Gate Newsの報告によると、3月13日に慢雾科技の最高情報セキュリティ責任者が安全警告を発表し、ClawHubの開発者に対してフィッシングや認証情報漏洩のリスクに注意を促しました。現在、ClawHubは開発者のGitHubワンクリックログインに依存しています。以前、Sha1-Huludのワームが大量の開発者のGitHub認証情報を盗み、攻撃者はこれを利用してSkillsを攻撃する可能性があります。攻撃の経路は次の通りです:認証情報の窃取 → 攻撃者がGitHubの権限を取得 → 開発者としてClawHubにログイン → 悪意のあるSkillsを公開しバックドアを仕込む → ユーザーがインストールして悪意のあるコードを実行し、システムに侵入。
