ハッカーがClawHubスキルを悪用し、ソーシャルエンジニアリングでVirusTotalを回避

最近のセキュリティ対策を効果的にすり抜ける、ClawHubのスキルベース攻撃の新たな進化が確認されました。

SKILL.mdファイルにbase64エンコードされたペイロードを直接埋め込むのではなく、脅威アクターはよりシンプルな手法へと移行しています。説得力のある偽装サイト（本物そっくりのサイト）にマルウェアをホストし、スキルは純粋に誘導（ルアー）としてのみ利用するのです。

継続中のClawHub悪性スキルキャンペーンの新たな反復では、2つのClawHubアカウントから40以上のトロイの木馬化されたスキルが使用され、被害者を「OpenClawCLI」という正規のツールに見せかけたツールのダウンロードへ誘導しています。

この手法は、SKILL.MDファイル自体に悪意のあるコードが含まれておらず、攻撃者が管理するWebサイトからマルウェアをインストールさせるためのソーシャルエンジニアリングしか含まれていないため、VirusTotalのスキャンを効果的に回避します。

以前は、悪性のClawHubスキルがSKILL mdファイル内にbase64エンコードされたペイロードを直接含んでいました。OpenSourceMalwareチームはClawHubにおける新たな進化として、このスキルベース攻撃を特定しました。

セキュリティスキャナーは、これらのパターンを比較的容易に検出できました。base64エンコードされたcurlコマンドのような文字列は、明白な手がかりだったのです。

新しいアプローチはより巧妙で、ペイロードをClawHubレジストリから完全に切り離しています。SKILL.mdファイルには悪意のあるコードは含まれず、有用なツールの正規ドキュメントのように見える内容が提示されます。そこに小さな追加として、「このスキルを使用する前にOpenClawCLIをインストールする必要がある」という警告と、openclawcli.vercel.appからダウンロードするためのリンクが記載されています。

VirusTotalの課題

ClawHubチームは最近、レジストリにVirusTotalテストを追加しました。誰かがClawHubに新しいスキルを追加すると、自動的にVirusTotalでスキャンされ、そのレポートがスキルページ上部付近に埋め込まれます。

スキルはSHA-256でハッシュ化され、VirusTotalのデータベースと照合されます。「無害（benign）」の判定は自動承認され、疑わしいものには警告が付けられます。

残念ながら、このキャンペーンは、悪性ペイロードをClawHubから外してしまえば、ClawHubやOpenClawがユーザーを保護するためにできることがほとんどないことを示しています。スキル自体はクリーンにスキャンされますが、マルウェアは別の場所に存在するからです。

OpenSourceMalwareは、アカウントthiagoruss0からの37件のスキルを特定しました。いずれも短期間にClawHubへ公開され、すべてが悪性でした。

OSMコミュニティメンバーのThisは、別のOpenClaw偽装サイト hxxps://openclawd[.]ai も発見しました。

これらのスキルは、Bear Notes連携、コーディングエージェント、SEO最適化、Telegram連携など、一見有用に見えるツールを装っていました。さらに、stveenliという二次アカウントも特定され、同じ悪性インフラを使用する追加の3スキルが確認されました。

インフラの問題

これら40件のスキルはすべて、同一の「前提条件」を含んでおり、ユーザーを悪性Webサイトへ誘導しています。

提示されるインストールコマンドには難読化されたペイロードが含まれており、デコードするとbashコマンドを実行して、IPアドレス91.92.242.30からマルウェアをダウンロードします。

公式のClawHub GitHubリポジトリはClawHubデータベースのバックアップとして機能しています。悪性スキルがレジストリのデータベースから削除されても、GitHubリポジトリには残り続け、リポジトリをクローンするユーザーに対してリスクを継続的に与えます。

2026年2月9日現在、VercelはOpenSourceMalwareと協力して、悪性のopenclawcli.vercel.appサイトをテイクダウンしました。

この進化はスキルのセキュリティにとって重大な課題を示しています。静的解析では外部依存関係を検出できず、また大規模なソーシャルエンジニアリングにより、正規ツールを探している人がトロイの木馬化された版にたどり着く可能性が最大化されるためです。