ClawJacked краде дані через плагіни OpenClaw

Одного кліку достатньо: сайт може запустити OpenClaw на вашому ноутбуці, «зачепити» звіт чи бухгалтерію та відправити в хмару, яка підконтрольна хакеру. Guardio Labs називає це ClawJacked. Про це пише Bleeping Computer.

Як працює трюк

OpenClaw встановлює власний URI-протокол — openclaw://. Коли браузер натрапляє на такий лінк, ОС без запитань відкриває десктопний клієнт і передає йому параметри. Дослідники показали, що параметри можна підмінити: замість легітимної синхронізації хакер передає шлях до будь-якого файлу й адресу, куди його залити. Користувач нічого не бачить — операція виконується у фоновому режимі.\

Масштаб проблеми

• 3,2 млн завантажень OpenClaw на GitHub та офіційному сайті.
• Понад 200 корпоративних пакетів використали сервіс для внутрішнього обміну файлами.
• Експлойт не потребує встановлення розширень: достатньо зайти на заздалегідь підготовлену сторінку.

Для порівняння, WannaCry у 2017-му заразив близько 200 тис. ПК — нинішня аудиторія OpenClaw у 15 разів більша.

Реакція розробників

Команда OpenClaw вже виклала патч 2.4.3: він прибирає автоматичне виконання критичних команд та вмикає підтвердження користувача. Однак апдейти застосовується не через магазин, а вручну. За статистикою GitHub, лише 18 % користувачів переходять на нову версію в перший місяць — вікно для атак залишається широким.

Що робити прямо зараз?

• Перевірити, чи встановлено версію 2.4.3 або новішу.
• У Windows — тимчасово скинути асоціацію openclaw:// через «Програми за замовчуванням».
• На міжмережевому екрані заблокувати вихідні запити клієнта до незнайомих доменів.
• Провести аудит логів: успішний виклик команди upload лишає слід у system.log.

Що це означає для України

Вітчизняні девопс-команди часто використовують OpenClaw, бо сервіс не обмежує швидкість для безкоштовних акаунтів і зручний для великих архівів. Якщо ви передаєте CAD-файли, фінансові моделі чи вихідний код, втрати реальні: готовий дизайн маховика в руках конкурента або номери платіжних карт у даркнеті. Кіберзлочинці вже полюють на агрокомпанії та IT-аутсорсерів, щоб продати дані російським структурам. Оновлення клієнта та блокування протоколу на рівні політик — дешевше, ніж відновлення репутації після зливу.

Нагадаємо, кілька днів тому головний розробник OpenClaw пояснив, чому відхилив «мільярдну пропозицію» Цукерберга.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn