Sicherheitsforscher des OpenSourceMalware-Teams haben eine groß angelegte Angriffswelle auf Nutzer des Open-Source-KI-Assistenten ClawdBot aufgedeckt. Zwischen dem 27. Januar und 2. Februar 2026 veröffentlichten Angreifer insgesamt 386 bösartige Skills in der offiziellen ClawHub-Registry und auf GitHub. Die als Krypto-Trading-Tools getarnten Erweiterungen installieren Schadsoftware auf macOS- und Windows-Systemen, die gezielt Kryptowährungen, Passwörter und sensible Zugangsdaten abgreift. Besonders brisant: Die meisten dieser Skills sind nach wie vor öffentlich verfügbar, obwohl die Betreiber mehrfach auf das Problem hingewiesen wurden.

Ausgefeiltes Social Engineering

Die Angreifer nutzten ausgefeilte Social-Engineering-Techniken, um ihre Opfer zum Ausführen schädlicher Befehle zu bewegen. Die Skills enthalten umfangreiche Dokumentationen von 500 bis 700 Zeilen, die legitime Krypto-Handelsfunktionen vortäuschen. Eingebettet sind auffällige Warnhinweise, die behaupten, ein "AuthTool" sei zwingend erforderlich. Nutzer werden dann aufgefordert, ZIP-Dateien herunterzuladen oder Base64-verschlüsselte Bash-Befehle auszuführen. Diese laden im Hintergrund Malware von einem Command-and-Control-Server mit der IP-Adresse 91.92.242.30 nach. Die Schadsoftware zielt auf Exchange-API-Schlüssel, Wallet-Private-Keys, SSH-Credentials und Browser-Passwörter ab.

Ein einzelner Nutzeraccount namens "hightower6eu" verantwortet allein 354 der 386 bösartigen Skills und generierte damit fast 7.000 Downloads. Die Angreifer erstellten für beliebte Skill-Kategorien wie "auto-updater", "clawhub" oder "polymarket" jeweils Dutzende Varianten mit leicht abgewandelten Namen. Diese Duplikate erscheinen mittlerweile unter den meistgeladenen Skills auf ClawHub. Die Malware-Analyse durch das Security-Team ergab, dass die zweite Payload-Stufe wahrscheinlich eine neue Variante der NovaStealer-Malware darstellt. Der Schadcode fordert weitreichende Dateisystem-Zugriffsrechte auf macOS-Systemen an und greift gezielt auf Keychain, Browser-Daten und Krypto-Wallets zu.

OpenClaw-Entwickler räumt Defizite ein

Peter Steinberger, der Entwickler von OpenClaw, räumte laut dem Bericht ein, dass er ClawHub nicht ausreichend absichern könne. Die Forscher kontaktierten Steinberger und das ClawHub-Team mehrfach über verschiedene Kanäle, doch die bösartigen Skills blieben weitgehend online. Es gibt keine Hinweise darauf, dass die im offiziellen Registry gelisteten Skills durch Security-Tools überprüft werden. Die Sicherheitsexperten kritisieren, dass viele Payloads bereits im ersten Absatz der SKILL.md-Dateien im Klartext sichtbar waren. Das OpenSourceMalware-Team hat alle 386 betroffenen Skills in seine Datenbank aufgenommen, um andere Entwickler und Nutzer zu warnen.

Die Kampagne veranschaulicht die Risiken im noch jungen Ökosystem der KI-Skills und AI-Assistenten. Durch die fehlende Sicherheitsüberprüfung bei der Veröffentlichung konnten die Angreifer eine klassische Supply-Chain-Attacke durchführen, ohne technische Exploits einsetzen zu müssen. Die gezielte Ansprache von Krypto-Tradern deutet auf finanzielle Motivation hin. Nutzer sollten bei Skills, die Downloads von GitHub-Executables verlangen, Base64-verschlüsselte Befehle enthalten oder passwortgeschützte ZIP-Dateien anbieten, höchste Vorsicht walten lassen. Die Command-and-Control-Infrastruktur der Angreifer war zum Zeitpunkt der Veröffentlichung des Blogbeitrags noch aktiv.