OpenClaw-Workflows als Einfallstor:: Angreifer schleusen Remcos RAT und GhostLoader in KI-Agenten ein
Sicherheitsforscher von Zscaler haben eine Angriffskampagne dokumentiert, die autonome KI-Agenten in Entwicklerumgebungen kompromittiert. Über ein manipuliertes OpenClaw-Skill gelangen Schadprogramme auf Windows-, macOS- und Linux-Systeme.
Das ThreatLabz-Team von Zscaler beschreibt eine Angriffsmethode, die sich gezielt gegen Nutzer des Open-Source-Frameworks OpenClaw richtet. Das Framework stattet KI-Agenten mit umfangreichen Systemrechten aus, um komplexe Abläufe automatisiert abzuarbeiten – genau diese Privilegien machen es laut den Forschern für Angreifer attraktiv. Im Mittelpunkt der untersuchten Kampagne steht ein präpariertes Skill mit dem Namen „DeepSeek-Claw“, das als legitime Erweiterung zur Anbindung von DeepSeek getarnt ist.
Manipulierte Instruktionsdatei als Auslöser
Die Infektionskette beginne, sobald ein Entwickler das präparierte OpenClaw-Skill aus dem Repository herunterlädt oder klont. Die mitgelieferte Datei SKILL.md enthält Anweisungen, die entweder manuell ausgelöst oder vom KI-Agenten eigenständig interpretiert und ausgeführt werden. Damit entfallen klassische Interaktionshürden, die ansonsten verdächtige Aktivitäten sichtbar machen würden. Die Sicherheitsexperten heben hervor, dass die Datei mehrere Ausführungspfade bereithält, die sich am Betriebssystem und an der Installationsmethode orientieren.
Auf Windows-Systemen startet ein versteckter PowerShell-Einzeiler den Download eines manipulierten MSI-Installers, der den Remote Access Trojaner Remcos einspielt. Für plattformübergreifende, manuelle Installationen wird hingegen der Information Stealer GhostLoader ausgeliefert. Beide Pfade umgehen die üblichen Interaktionspunkte, an denen ein Nutzer eingreifen könnte, da der KI-Agent die Befehle im Rahmen seines regulären Workflows ausführt.
DLL-Sideloading über signierte GoToMeeting-Datei
Wird der Windows-Pfad eingeschlagen, installiert das MSI-Paket zwei Komponenten auf dem Zielsystem: eine digital signierte, legitime ausführbare Datei der Kommunikationssoftware GoToMeeting sowie eine schadhafte Programmbibliothek. Beide Dateien werden im selben Verzeichnis abgelegt.
Beim Start von GoToMeeting lädt die Anwendung die manipulierte Bibliothek anstelle der originalen Abhängigkeit – ein als DLL-Sideloading bekanntes Verfahren, bei dem die Suchreihenfolge für Abhängigkeiten ausgenutzt wird. Auf diese Weise verbergen sich die Angreifer im Kontext eines vertrauenswürdigen Prozesses und umgehen signatur- und verhaltensbasierte Erkennungsmechanismen.
Die nachgeladene Bibliothek fungiert anschließend als In-Memory-Shellcode-Loader für Remcos RAT. Zscaler beschreibt, dass der Loader im Arbeitsspeicher dynamisch die Event Tracing for Windows (ETW) sowie das Antimalware Scan Interface (AMSI) patcht.
Beide Eingriffe sollen die Telemetrieerfassung moderner Sicherheitsprodukte unterbinden und lokale Speicherscanner blockieren. Hinzu kommen Anti-Debugging-Mechanismen und Ausführungszeitmessungen, mit denen der Loader Sandbox-Umgebungen erkennen soll. Erst nach Umgehung dieser Schutzschichten entschlüsselt der Loader die finale Payload mit dem Tiny Encryption Algorithm und übergibt den Angreifern den Fernzugriff auf das System.
GhostLoader zielt auf Entwicklerdaten unter macOS und Linux
Der zweite Infektionspfad greift laut Zscaler bei manuellen Installationen über npm oder Shell-Skripte sowie auf macOS- und Linux-Systemen. Hier wird der plattformübergreifende Stealer GhostLoader, auch als GhostClaw bezeichnet, ausgeliefert. Die Bereitstellung erfolgt über eine stark verschleierte Node.js-Payload, die in den npm-Skripten verborgen ist.
Auf Apple- und Linux-Rechnern agiert das Skript zusätzlich als Dropper und setzt Social-Engineering-Techniken direkt in der Kommandozeile ein: Gefälschte Passwortabfragen für administrative Rechte sollen Nutzer dazu bringen, ihre Systemkennwörter einzugeben.
Nach erfolgreicher Ausführung entwendet GhostLoader systematisch sensible Daten, darunter den macOS-Keyring, SSH-Keys, Krypto-Wallets und Cloud-API-Tokens. Diese Informationen werden verschlüsselt an die Command-and-Control-Infrastruktur der Angreifer übermittelt. Der Stealer richtet sich damit gezielt gegen Entwicklungsumgebungen und nutzt die dort typischen Workflows zur Datenexfiltration.
Konsequenzen für die Absicherung von KI-Agenten
Zscaler ordnet die Kampagne als Beleg dafür ein, wie schnell neue KI-Workflows zu Angriffsflächen werden. Klassische Techniken wie DLL-Sideloading, In-Memory-Loader und Social Engineering werden mit Automatisierungswerkzeugen kombiniert und in zuvor gut abgeschottete Entwicklerumgebungen getragen. Da autonome KI-Agenten verstärkt in der Softwareentwicklung eingesetzt werden, empfehlen die Researcher Organisationen, ihre Sicherheitsarchitektur anzupassen.
Konkret fordert der Sicherheitsdienstleister rigorose Prüfprozesse für Drittanbieter-Plug-ins und Erweiterungen von KI-Frameworks vor deren Integration. Ergänzend sei eine strenge Verhaltensüberwachung externer Skills und Skripte notwendig, um bösartige Anomalien in der Ausführungskette frühzeitig zu erkennen. Erst durch proaktive Validierung und kontinuierliches Monitoring lassen sich derartige Angriffe auf KI-gestützte Workflows abwehren. (sf)
(Quelle: Zscaler)
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
