Torna a fare parlare di sé OpenClaw, il framework Open source creato originariamente per supportare gli agenti AI nell’esecuzione di operazioni che richiedono privilegi elevati.
A marzo del 2026, i ricercatori di Zscaler ThreatLabz (qui il report) hanno individuato una pericolosa mutazione di questo strumento, ora utilizzato da cyber criminali per colpire sviluppatori e sistemi aziendali attraverso la pubblicazione di una skill malevola denominata DeepSeek-Claw.
Una skill è un modulo aggiuntivo che estende le capacità dell’agente AI, ma in questa campagna viene utilizzata come un vero e proprio cavallo di Troia. Non è la prima volta che una skill viene impiegata dai criminal hacker per perseguire intenti tutt’altro che nobili.
Tuttavia, demonizzare gli agenti AI o i framework che li gestiscono è poco opportuno, come sostiene Pierluigi Paganini, Ceo di Cybhorus e direttore dell’Osservatorio sulla cybersecurity Unipegaso.
Indice degli argomenti
OpenClaw, come funziona l’attacco
L’attacco si concretizza manipolando il file delle istruzioni contenuto nel repository del progetto, noto come SKILL.md.
Questo file è fondamentale poiché gli agenti AI lo leggono per capire come installare e configurare le nuove funzioni.
I criminali vi hanno inserito comandi malevoli mascherati da passaggi legittimi, inducendo l’intelligenza artificiale o lo sviluppatore ignaro a scaricare ed eseguire il malware senza alcuna interazione umana sospetta.
L’immagine sopra mostra come l’infezione si biforca in due percorsi distinti a seconda del sistema operativo della vittima, puntando a Windows o a sistemi Unix-like come macOS e Linux.
L’attacco sui sistemi Windows
Per quanto riguarda i sistemi Windows, l’infezione viene avviata tramite un pacchetto MSI, un formato di installazione standard di Microsoft utilizzato per distribuire software.
Una volta avviato, l’installer sfrutta il DLL Side-loading, tecnica mediante la quale un file legittimo e firmato digitalmente, nel caso esaminato da Zscaler ThreatLabz il software GoToMeeting (G2M.exe), viene indotto a caricare una versione malevola della libreria (g2m.dll) posizionata dagli attaccanti nella stessa cartella.
Questo permette al codice malevolo di mimetizzarsi all’interno di un processo noto e ritenuto sicuro, rendendo estremamente difficile il rilevamento da parte dei software di sicurezza basati sulla firma.
La libreria malevola g2m.dll agisce come un caricatore in memoria sofisticato, implementando tecniche di EDR Blinding per annichilire i sistemi di Endpoint Detection and Response (EDR).
In particolare, il malware effettua il patching, ovvero la modifica temporanea del codice in memoria, di funzioni critiche come EtwEventWrite e AmsiScanBuffer.
ETW, o Event Tracing for Windows, è il meccanismo del sistema operativo che registra le attività dei processi, mentre AMSI, l’Antimalware Scan Interface, permette alle applicazioni di inviare dati agli antivirus per una scansione immediata.
Disabilitando queste protezioni, il malware garantisce che il suo carico finale non venga né registrato nei log né rilevato dagli scanner di memoria.
Per decriptare il carico finale, il loader utilizza l’algoritmo TEA (Tiny Encryption Algorithm) in modalità CBC, un metodo di cifratura a blocchi che garantisce che il codice malevolo rimanga illeggibile fino all’ultimo istante.
Prima dell’esecuzione, il malware verifica anche l’ambiente circostante per rilevare la presenza sandbox, ovvero ambienti isolati usati intercettare software o codice malevolo.
Il payload finale su Windows è Remcos RAT, un Remote Access Trojan che permette agli attaccanti di prendere il controllo totale della macchina.
Questo strumento è progettato per lo spionaggio industriale: registra ogni tasto premuto (keylogging), cattura i dati copiati negli appunti e ruba i cookie di sessione dai database SQLite dei browser.
Il furto dei cookie è particolarmente critico poiché permette ai criminali di bypassare l’autenticazione a più fattori (MFA), accedendo agli account della vittima come se fossero già autenticati.
L’attacco sui sistemi macOS e Linux
Sui sistemi macOS e Linux, la campagna utilizza invece GhostLoader, noto anche come GhostClaw, un malware specializzato nel furto di informazioni sensibili.
In questo caso, l’installazione avviene tramite script Bash o pacchetti Node.js fortemente offuscati, affinché il codice sia deliberatamente confuso e illeggibile per i sistemi di analisi automatica.
Il malware tenta di ottenere privilegi di sistema elevati attraverso l’ingegneria sociale, mostrando falsi prompt della password di Sudo nel terminale dell’utente.
Una volta ottenuti i permessi, GhostLoader esfiltra dati preziosi dai portachiavi di sistema (macOS Keychain), ruba chiavi SSH per l’accesso a server remoti, sottrae portafogli di criptovalute e token API per i servizi cloud.
Questa minaccia evidenzia come l’integrazione di strumenti di terze parti nei moderni ambienti di sviluppo richieda una vigilanza costante e un monitoraggio comportamentale rigoroso per prevenire infiltrazioni silenziose.
OpenClaw e le precauzioni di rito
Bandire OpenClaw o l’orchestrazione agentiva in quanto tali non è una soluzione ragionevole, almeno non a priori.
Qualsiasi tecnologia deve essere introdotta in un’azienda e implementata con consapevolezza e seguendo best practice specifiche.
Infatti, come sottolinea l’ingegner Paganini: “Non ha senso considerare OpenClaw come qualcosa da bandire in automatico. Il punto centrale emerso dal report Zscaler è che non si tratta di uno strumento intrinsecamente malevolo, ma di un framework che può diventare pericoloso quando viene esteso con skill o plugin non verificati”.
Il rischio c’è ed è tanto plausibile quanto documentato, ma si può contenere e persino eludere: “In pratica il rischio nasce dalla combinazione tra supply chain e plugin execution: un attaccante non compromette il core, ma introduce componenti malevoli che vengono poi eseguite come parte del flusso agentivo, ad esempio loader che scaricano o attivano malware come Remcos RAT.
Per questo la decisione corretta non è un divieto secco, ma un controllo rigoroso dell’uso. In azienda dovrebbe essere ammesso solo con codice firmato o revisionato, esecuzione isolata, controllo delle connessioni in uscita e logging completo delle azioni degli agenti. In questo modo si riduce il rischio senza rinunciare alla tecnologia”, conclude l’esperto.
