ClawHub “skill” に新たな悪意の手口:VirusTotal スキャンを無効化するソーシャルエンジニアリング

Hackers Abuse ClawHub Skills to Evade VirusTotal via Social Engineering

2026/02/09 gbhackers — ClawHub における “skill” ベース攻撃に、最近になって導入されたセキュリティ対策を実質的に回避するという、新たな進化が確認された。この脅威アクターは、Base64 エンコードされたペイロードを SKILL.md ファイル内に直接埋め込むのではなく、より単純な手法へと移行した。つまり、説得力のある偽装 Web サイト上にマルウェアをホスティングし、純粋なルアー として “skill” を利用する方法である。

進行中の ClawHub 悪性 “skill” キャンペーンの新たな亜種では、2 つの ClawHub アカウントから配布される 40 を超えるトロイ化された “skill” により、正規に見える OpenClawCLI ツールのダウンロードへと被害者が誘導されている。

この手法は、SKILL.md ファイル自体に悪性コードを抱えないため、VirusTotal スキャンを効果的に回避する。つまり、”skill” 内にはマルウェアは存在せず、攻撃者が管理する Web サイトからマルウェアをインストールさせるための、ソーシャル・エンジニアリングのみが含まれる。

従来の ClawHub 悪性 “skill” では、Base64 エンコードされたペイロードが SKILL.md ファイル内に直接含まれていた。その一方で OpenSourceMalware チームは、ClawHub “skill” ベース攻撃における新たな進化を特定している。

いくつかのセキュリティ・スキャナが、Base64 エンコードされた curl コマンドなどの文字列を容易に検知するという、明白な兆候があった。

新しい手法は巧妙であり、ペイロードを ClawHub レジストリから完全に切り離している。SKILL.md ファイルには悪性コードは含まれず、有用なツールに関する正規ドキュメントのように見せかけた内容のみが記載されている。ただし、1 点だけ追加がある。それは、”この skill を使用する前に、OpenClawCLI をインストールする必要がある” という警告と、”openclawcli.vercel.app” からのダウンロード・リンクである。

VirusTotal に関する課題

先日に ClawHub チームは、レジストリに VirusTotal テストを追加した。新しい “skill” が ClawHub に追加されると、自動的に VirusTotal によりスキャンされ、そのレポートが “skill” ページ上部付近に埋め込まれる。

ClawHub and VirusTotal (Source : OpenSourceMalware).
ClawHub and VirusTotal (Source : OpenSourceMalware).

それらの “skill” は SHA-256 によりハッシュ化され、VirusTotal のデータベースと照合される。”benign” と判定されたものは自動的に承認され、疑わしいものには警告が付与される。

しかし、この VirusTotal のスキャンは、悪性ペイロードが ClawHub の外部に配置された場合に、ClawHub や OpenClaw 側でユーザーを保護できる余地がほとんどないことを示している。つまり、”skill” 自体はクリーンにスキャンされるが、マルウェアは別の場所に存在する。

OpenSourceMalware は、”thiagoruss0″ というアカウントから公開された 37 個の “skill” を特定しているが、いずれも短期間に ClawHub に投稿されたものであり、すべて悪性であった。

OSM コミュニティ メンバーの This は、別の OpenClaw 偽装サイト “hxxps://openclawd[.]ai” も発見している。

OpenClaw Lookalike Websites (Source : OpenSourceMalware).
OpenClaw Lookalike Websites (Source : OpenSourceMalware).

これらの “skill” が装っていたのは、Bear Notes 連携/コーディング・エージェント/SEO 最適化ツール/Telegram 連携などの、有用に見えるツールだった。同様の悪性インフラを利用する別アカウント stveenli からも、別の 3 つの “skill” が確認されている。

インフラの問題

これらの 37 個の “skill” と 3 個の “skill” には、ユーザーを悪性 Web サイトへ誘導するという、同一の前提条件が含まれている。

そこで提示されるインストール・コマンドには難読化されたペイロードが含まれており、デコードされると bash コマンドを実行し、IP アドレス “91.92.242.30” からマルウェアをダウンロードする仕組みになっている。

ClawHub GitHub repository is part of the problem (Source : OpenSourceMalware).
ClawHub GitHub repository is part of the problem (Source : OpenSourceMalware).

公式 ClawHub GitHub リポジトリも、問題の一部となっている。このリポジトリは、ClawHub データベースのバックアップとして機能しているため、レジストリ・データベースから悪性 “skill” が削除されても、GitHub リポジトリ内には残存するという問題を抱える。その結果として、このリポジトリを clone するユーザーに対して、継続的なリスクが生じてしまう。

2026年2月9日付で Vercel は、OpenSourceMalware と協力して悪性サイト “openclawcli.vercel.app” をテイクダウンした。

これまでに示してきたのは、”skill” セキュリティにおける重大な課題である。静的解析では外部依存関係を検知できず、正規ツールを探しているユーザーがトロイ化されたバージョンに到達する可能性が、大規模なソーシャル・エンジニアリングにより最大化されている。

この新たな攻撃手法は、AI のエクステンションである “skill” 自体に悪意あるプログラムを書き込むのではなく、偽の解説文を使って利用者を言葉巧みに騙し、外部の危険なサイトへ誘導するという、人の心理を突くものです。”skill” 自体には不審なコードが含まれていないため、従来の自動スキャン検査をすり抜け、”安全” だと誤認させる仕組みになっています。さらに、公式のバックアップ体制に不備があり、一度登録された有害な情報が完全には消えずに残ってしまうという、構造的な弱点も被害を広げる要因となっています。ご利用のチームは、ご注意ください。よろしければ、2026/02/07 の「OpenClaw と VirusTotal が提携:”skill” に対する自動スキャンで AI エージェントを保護」も、ご参照ください。