Un val de atacuri cibernetice utilizând platforme de distribuție open-source a ieșit în evidență recent, în contextul intensificării preocupărilor legate de securitatea digitală. În centrul acestor incidente se află OpenClaw, un proiect care, deja, atrăgea atenția pentru creșterea rapidă a popularității și pentru numeroasele avertismente legate de vulnerabilitățile din ecosistemul său. Noile anchete au demonstrat însă că această notorietate a fost folosită de infractori pentru a răspândi malware, exploatând tocmai preocuparea utilizatorilor în căutarea unor soluții legitime pentru Windows.
Schema de înșelăciune bazată pe recunoașterea oficială a proiectului
Potrivit cercetătorilor în domeniul securității cibernetice, depozitele malițioase de pe GitHub au fost active între 2 și 10 februarie 2026, iar compromiterea unui anumit repository a fost descoperită abia pe 9 februarie, după ce un utilizator și-a descărcat și rulat un fișier instalator fals. Mecanismul a fost simplu, dar extrem de eficient: atacatorii au creat un repository fals, menit să pară a fi o soluție oficială pentru “OpenClaw Windows”, și au manipulat rezultatele de căutare de pe Bing pentru a direcționa utilizatorii spre acel depozit. Se pare că succesul acestei scheme a fost alimentat de câțiva factori esențiali, printre care numărul mare de proiecte conexe ale OpenClaw și modul în care acea pagină a fost configurată pentru a inspira încredere.
De exemplu, atacatorii au folosit o organizație denumită „openclaw-installer”, nume care suna suficient de apropiat de cel real, pentru a induce utilizatorii în eroare. Totuși, anumite detalii au ridicat suspiciuni: contul asociat era nou-creat, având o activitate aproape inexistentă înainte de promovarea repo-urilor suspecte. În plus, profilul trimitea către o pagină de social media inexistenta, iar fotografia de profil fusese preluată de la alt utilizator, indicând clar o infrastructură improvisată, creată special pentru răspândirea malware-ului.
Detalii tehnice despre modul de infectare și comportamentul malware-ului
Investigațiile au relevat faptul că, deși unele părți din codul aparatizelor malware erau autentice, provenind din proiecte legitime, componenta malițioasă era subtil ascunsă în fișierele de tip „release” ale repo-ului. În cazul de față, fișierul compromițător, numit „OpenClaw_x64.exe”, era plasat într-o arhivă, într-o manieră încât utilizatorii neatenți, fără verificări suplimentare, aveau șanse mari să descarce și să ruleze accidental un program dăunător.
Odată lansat, fișierul malware împrăștia în sistem mai multe componente. Printre acestea se aflau loadere scrise în Rust, menite să ruleze anumite părți ale programului exclusiv în memorie, pentru a evita detectarea tradițională bazată pe fișiere. Unul dintre cele mai periculoase elemente identificate a fost un infostealer din familia Vidar, capabil să fugă credențiale și date personale sensibile, precum și un alt malware, „serverdrive.exe”, o variantă de GhostSocks, care putea transforma sistemul compromis într-un proxy utilizat în alte atacuri sau pentru a masca fluxurile de trafic infracțional.
Cercetările au mai descoperit un „stealth packer”—un nou tip de compresor utilizat pentru a ascunde și mai eficient componentele malware—precum și funcții speciale de evadare, precum verificări anti-VM, injectare de cod în memorie și reguli automate pentru evitare detectării. Toate acestea indică o campanie profesională, gândită să îi facă pe infractori cât mai dificil de identificat și de oprit.
Riscurile ascunse pentru utilizatori și evoluția situației
Ce devine alarmant în această situație este modul în care rezultatele de căutare, susținute de inteligența artificială, pot fi manipulate astfel încât să ofere linkuri false, dar aparent credibile. Impresia de oficialitate este suficientă pentru a determina utilizatorii să descarce fișiere periculoase, mai ales atunci când acele linkuri sunt optimizate pentru apariția în topul rezultatelor. Astfel, chiar și utilizatorii cei mai vigilenti pot fi păcăliți dacă nu verifică sursele și autenticitatea fișierelor descărcate.
Potrivit experților, aceste incidente nu sunt izolate și reflectă o tendință deja consolidată în lumea infracțională cibernetică. La scurt timp după ce repository-urile frauduloase sunt șterse, apar clone noi, fără istoric sau verificări solide, încercând să păstreze fluxul de infectări. În acest context, utilizatorii trebuie să fie extrem de atenți la sursele de unde descarcă software și să nu se bazeze numai pe rezultatele de pe motoarele de căutare, mai ales dacă acestea vin din surse noi, fără istoric verificabil.
Pe măsură ce tehnologiile de inteligență artificială devin tot mai avansate, amenințările de tip malware vor deveni și mai sofisticate, adaptate pentru a păcăli chiar și cei mai vigilenți utilizatori sau mecanismele automate de detectare. În aceste condiții, conștientizarea și educația digitală sunt esențiale pentru a evita situațiile în care un simplu download din grabă se poate transforma într-o breșă de securitate majoră.
