【安全资讯】恶意OpenClaw技能被用于分发Atomic macOS窃密木马

概要：

随着人工智能代理的广泛应用，其工作流程正成为网络攻击者的新目标。近期，安全研究人员发现Atomic macOS Stealer（AMOS）窃密木马的传播方式出现重大演变，从传统的破解软件分发转向利用OpenClaw等AI代理平台的技能库进行供应链攻击。攻击者通过篡改SKILL.md文件，将AI代理本身转化为欺骗用户的“可信中介”，诱使用户手动输入密码，从而完成感染。这一手法标志着攻击策略从传统的提示词注入，升级为利用AI工作流本身进行社会工程学攻击。

主要内容：

此次攻击活动的核心在于攻击者向OpenClaw技能库（如ClawHub、SkillsMP）上传了数百个恶意技能。这些技能表面看似无害，甚至被部分安全引擎标记为良性，实则暗藏恶意指令。当AI代理（如GPT-4o）执行这些技能时，会被诱导访问恶意网站并下载一个伪装成命令行工具（CLI）的安装程序。

攻击的技术关键在于一个精心设计的“人机交互”欺骗环节。下载的恶意脚本会释放一个经过特殊签名的Mach-O通用二进制文件，该文件可在Intel和Apple Silicon芯片的Mac上运行。为了绕过检测，文件内的所有字符串均采用多密钥XOR方案进行加密。执行过程中，会弹出一个伪造的系统对话框，诱骗用户输入管理员密码，从而获取系统高级权限。

一旦得手，AMOS窃密木马便开始大肆收集敏感信息。其窃取范围极广，包括系统用户名密码、桌面文档文件夹内的多种文件（如.txt、.pdf、.docx）、苹果钥匙串中的各类凭证、19款不同浏览器的数据（如Cookie、密码、信用卡信息）、以及超过150种加密货币钱包和Telegram等通讯软件的数据。所有数据经压缩后，通过HTTPS协议上传至攻击者控制的C&C服务器。

尽管此AMOS变种不具备系统持久化能力，且意外地忽略了窃取存储API密钥的.env文件，但其通过操纵AI代理工作流进行分发的新颖方式，极大地扩展了攻击面。安全专家指出，企业需在受控环境中测试未经验证的AI代理技能，并采用容器技术隔离其执行环境，同时部署具备行为检测和关联分析能力的高级威胁防护方案，以应对此类新型供应链攻击。