Malicious OpenClaw Skill Targets Agentic AI Workflows to Deploy RATs and Stealers
2026/05/06 gbhackers — OpenClaw エージェントの Skill エコシステムを悪用する、Remcos RAT/GhostLoader と呼ばれるクロス・プラットフォーム型インフォ・スティーラーを配信する攻撃が確認された。この攻撃は、脅威アクターが “DeepSeek-Claw” と称する偽の DeepSeek 統合機能の内側に、マルウェアを隠蔽する手口によるものである。
このキャンペーンが示すのは、従来の攻撃チェーンではなく、改竄されたインストール手順を通じて、高権限を持つ自律型 AI ワークフローを侵害する手口である。それにより、自律型エージェントの安全性を揺るがす深刻な事態が生じている。
OpenClaw (旧称 Clawdbot/Moltbot) は、自律型 OpenClaw AI エージェント向けのオープンソース・フレームワークであり、シェル・コマンドの実行やローカル・ファイルの読み書き、複雑なタスクの自動化などを高権限で実行する。
そのモジュール型の Skill アーキテクチャにより、サードパーティ製エクステンションがエージェントの完全な権限で実行されるが、事実上、この仕組みはホスト上における無防備なソフトウェア・サプライ・チェーンとして機能してしまう。
現実に、2026年の初頭に複数のベンダーにより警告されたのは、悪意の Skill により、OpenClaw が単なるオートメーション・ツールから、インフォ・スティーラーや RAT の配信チャネルへと変質したことだ。
“DeepSeek-Claw” Skill は、この種の新たなマルウェアであり、開発ワークフローにおける自律型 AI エージェントへの依存が増加している状況を標的としている。
OpenClaw Skill によるエージェント型 AI の標的化
2026年3月に Zscaler ThreatLabz が観測したのは、OpenClaw と DeepSeek の統合を装う偽の “DeepSeek-Claw” Skill を公開するというキャンペーンである。この Skill の SKILL.md インストール・ファイル内には、複数の実行パスが埋め込まれていた。
通常の OpenClaw エージェントは、Skill ドキュメントを解析して推奨コマンドを実行するため、これらのインストラクションは、AI により自動実行されるだけではなく、不審に思わない開発者により手動で実行される恐れもある。
この攻撃チェーンはプラットフォームとインストール方法に応じて分岐しており、Windows では PowerShell ベースの自動フローがリモート MSI を取得し、Remcos RAT をインストールする。その一方で、クロス・プラットフォームの手動ステップでは、Node.js ベースの GhostLoader インフォ・スティーラーが展開される。
この設計により、OpenClaw 本体のバイナリをエクスプロイトすることなく、同一の Skill でエージェント駆動型ワークフローと、人間による操作ワークフローを武器化することが可能になっている。
Windows 環境では、SKILL.md に含まれる PowerShell ワンライナーが “msiexec.exe” を呼び出し、リモート MSI パッケージをダウンロード/インストールする。この MSI により、正規の GoToMeeting 実行ファイル “G2M.exe” と悪意の “g2m.dll” が配置される。その後に攻撃者は、DLL 検索順序ハイジャックを悪用し、署名済みバイナリ・ディレクトリ配下で悪意のコードをサイドロードすることが可能になる。
この不正な DLL は、メモリ内のシェルコード・ローダーとして機能して API を動的に解決し、XOR により文字列を復号し、さらに CBC モードの Tiny Encryption Algorithm (TEA) を用いて埋め込み済み Remcos RAT ペイロードを展開する。
RAT の起動に際しては、Event Tracing for Windows (ETW) および Antimalware Scan Interface (AMSI) にパッチを適用して、テレメトリとメモリ内スキャンを回避した上で、アンチデバッグ/タイミング・ベースのサンドボックス検知/Mutex ベースの仮想化検知を実行する。
起動後の Remcos は、暗号化 TCP/TLS C2 チャネルを確立した後に、キーログ取得/SQLite ベースのブラウザ・クッキーの窃取/対話型リバース・シェルを提供する。これらの動作を制御する設定は、RC4 暗号化リソース内に保存されており、永続化/ステルス動作/エンドポイント情報を定義している。
その一方で、ユーザーまたは AI エージェントが npm ベースのセットアップやインストール・スクリプトなどを手動で実行する場合には、同一の Skill が Remcos の代わりに GhostLoader (別名 GhostClaw) を展開する。特に Windows における GhostLoader は、高度に難読化された Node.js ライフサイクル・スクリプト内へ埋め込まれており、Bash ベースのインストーラーにより呼び出されるが、無害に見える開発ツールの背後に悪意の “setup.js” を隠蔽している。
macOS/Linux では、GhostLoader は偽装 sudo プロンプトを含む、ターミナル・ベースのソーシャル・エンジニアリングを用いて認証情報を窃取する。その後に、SSH キー/macOS keychain データ/暗号資産ウォレット/クラウド API トークンを収集し、攻撃者が管理する外部サーバへ送信する。
過去の公開報告によると、GhostLoader 系のキャンペーンは、信頼された開発ワークフローの悪用と関連付けられている。この OpenClaw Skill は、新規マルウェア・ファミリーというより、既存のクロス・プラットフォーム型インフォスティーラー・ファミリーの進化形とみられている。
このキャンペーンが浮き彫りにするのは、エージェント型 AI プラットフォームにおいて、ドキュメントや Skill のメタデータ自体がアクティブな実行サーフェスへと変化し、インストール手順自体がマルウェア配信スクリプトとして機能することだ。
セキュリティ・チームに対して強く推奨されるのは、OpenClaw Skill を信頼されていないソフトウェア・パッケージとして扱い、サードパーティ Skill に対する厳格なレビューやプロバンス・チェックを実施することである。また、DLL サイドローディングや、ETW/AMSI パッチに加えて、異常な npm ライフサイクル・アクティビティを検知する振る舞いモニタリングを導入する必要がある。
また、自律型エージェントを導入する組織に対して強く推奨されるのは、高権限エージェント・ホストの分離/ファイル・システムや認証情報の露出制限/人間による明示的な承認なしにインストーラーやシェル・コマンドを実行させないための、コントロールの実装である。
DeepSeek-Claw のインシデントが示すように、AI エージェント自体が “インストールを実行するユーザー” となり得る。その結果、従来のエンドポイント防御が、唯一かつ最終段階の防御層となる可能性がある。
Indicators of Compromise (IoCs)
| Indicator | Details |
|---|---|
| 1c267cab0a800a7b2d598bc1b112d5ce | “Deepseek-Claw” named OpenClaw Skill |
| 2A5F619C966EF79F4586A433E3D5E7BA | MSI Installer |
| hxxps://cloudcraftshub[.]com/api | MSI download URL |
| hxxp://dropras[.]xyz/ | MSI download URL |
| https://github.com/Needvainverter93/deepseek-claw | GitHub repository |
| CC1AF839A956C8E2BF8E721F5D3B7373 | Shellcode loader |
| 2C4B7C8B48E6B4E5F3E8854F2ABFEDB5 | Remcos RAT |
| 146[.]19.24[.]131:2404 | Remcos C2 |
| hxxps://trackpipe[.]dev | GhostLoader C2 |
注:IP アドレスおよびドメインは、誤解決やハイパーリンク化を防ぐため、意図的に無効化されている (例:[.] ) 。再有効化は MISP/VirusTotal/SIEM などの管理環境内でのみ実施する必要がある。
訳者後書:今回の攻撃の原因は、 OpenClaw が持つエクステンションの仕組みである Skill エコシステムが、 サードパーティ製ソフトを検証なしに実行する点にあります。 本来は便利な自動化機能ですが、インストール手順を記したドキュメント自体が、攻撃の実行指示に悪用されています。 特に AI エージェントが高い権限を持って、自動的にコマンドを実行する特性が、 攻撃者にとって絶好の侵入経路となりました。信頼できないソースからの統合機能を安易に導入することが、 知らぬ間にマルウェアを招き入れる窓口になります。 よろしければ、OpenClaw での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.