Hackers Leveraged Hugging Face and ClawHub With 575+ Malicious Skills to Deploy Malware
2026/05/08 CyberSecurityNews — 著名な AI プラットフォーム Hugging Face と ClawHub を悪用し、正規の AI ツールやエージェント・エクステンションを装いながら、トロイの木馬/暗号通貨マイナー/情報窃取マルウェアなどを配布する、進行中のマルウェア配布キャンペーンが確認された。このキャンペーンが示すのは、従来のソフトウェア・リポジトリから、信頼された AI エコシステムへと攻撃対象が移行している状況であり、サプライチェーン攻撃の大きな進化といえる。
ClawHub を通じて配布される OpenClaw エコシステム内で確認されたのは、Acronis TRU が 13 の開発者アカウントから公開した、575 件の悪意の Skill である。
このキャンペーンは、主に 2 つの脅威アクターにより実行されているとみられる。hightower6eu が 334 件 (58%) を、sakaen736jih が 199 件 (34.6%) を担当し、残り 11 アカウントが少数を補完している。
これらのトロイ化された Skill は、YouTube トランスクリプト要約ツールなどの有用な機能を装いながら、実際にはパスワード付きアーカイブのダウンロードや、エンコードされたコマンド実行をユーザーに指示するものだ。
Hugging Face と ClawHub の悪用
Windows 向けペイロードでは、VMProtect でパックされたトロイの木馬が確認されている。macOS では、base64 エンコードされたコマンドが外部 IP “91.92.242[.]30” に接続し、AMOS Stealer を密かにダウンロード/実行する。この AMOS Stealer は、Telegram やアンダーグラウンド・フォーラムで MaaS として提供される、macOS 向け情報窃取マルウェアである。
別の Windows ペイロードは、30 バイトの XOR キーを用いて実行時に文字列を復号し、NT API を動的に解決して “explorer.exe” へのインメモリ・プロセス・インジェクションを実行する。
このコードは、AES で暗号化された C2 通信を、HTTPS 経由で “hxxps://velvet-parrot[.]com:443″ との間で確立し、”svchost.exe” に偽装した暗号通貨マイナーをダウンロードし、スケジュールタスクや Windows Defender のエクスクルード・パス設定を通じて永続化を維持する。
ClawHub キャンペーン全体で確認された重要な手法としては、Skill ファイル内に悪意の命令を埋め込み、AI エージェントに読み取らせて実行させる、間接的プロンプト・インジェクションがある。
OpenClaw エージェントは、Skill 定義に基づき自律的に動作する。そのため、エージェントを無自覚な中継点として悪用する攻撃者は、初期の侵害対象を超えて被害範囲を拡大できる。
Hugging Face 上では、100 万以上の機械学習モデルがホストされている。その中で確認されたリポジトリには、Acronis TRU によりマルチステージ感染チェーンの中継地点として悪用されるものがあり、Windows/Linux/Android 向けペイロードを配布している。2 つのキャンペーンが、この悪用を具体的に示している。
2026年1月にベトナムの金融機関を標的とした ITHKRPAW キャンペーンは、悪意の LNK ファイルにより Cloudflare Workers を呼び出し、PowerShell ドロッパーを実行する。それにより、Hugging Face のデータセット・リポジトリからペイロードを取得すると同時に、猫の画像を表示して活動を隠蔽する。
研究者たちは、PowerShell スクリプト内のベトナム語コメントを根拠として、このコードが LLM により生成された可能性が高いと評価している。
FAKESECURITY キャンペーンは、エンコードされた PowerShell を含むバッチスクリプト (CDC1.bat) を使用して、Hugging Face リポジトリから難読化された第 2 段階スクリプトをダウンロードする。
Mark-of-the-Web を削除して Windows SmartScreen を回避した後に、このマルウェアは “explorer.exe” にシェルコードを注入し、Windows Security を装うファイルを配置する。
ユーザー組織および開発者にとって必要なことは、AI モデル/データセット/エージェント・エクステンションを信頼できない入力として扱い、サードパーティ・コードと同様の検証を実施することだ。
具体的に求められるのは、OpenClaw Skill に含まれるエンコード・コマンドや外部ダウンロード命令の監査や、”explorer.exe” への不審なプロセス・インジェクションの監視、既知の悪性指標 “91.92.242[.]30″/”velvet-parrot[.]com” のブロック、Group Policy による Windows Defender エクスクルード・パス変更の制限などである。
訳者後書:Hugging Face や ClawHub といった信頼された AI プラットフォームが、マルウェアを配布するための隠れみのとして悪用されているというニュースです。問題の背景にあるのは、AI エージェントの機能を拡張する Skill や Model などの配布物が、開発者やユーザーから便利なツールとして無条件に信頼され、中身の厳重なチェックを受けずに利用されている点にあります。今回のキャンペーンでは、 YouTube の要約ツールなどを装う 500 件以上の悪意あるツールが公開されました。一見すると便利なツールですが、裏側では AI エージェントの自律的な動作を悪用して、パスワードを盗むウイルスや、暗号資産を採掘するプログラムをダウンロードさせようとします。特に、間接的プロンプト・インジェクションという手法が使われており、 AI エージェントに悪意のある命令を読み取らせることで、ユーザーが気づかないうちに攻撃を実行させてしまうのが特徴です。よろしければ、Prompt Injection での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.