Thought Leadership
Forscher von Zscaler warnen vor einer neuen Angriffskampagne, die gezielt autonome KI-Agenten und moderne Entwicklungsumgebungen ins Visier nimmt.
Im Mittelpunkt steht dabei das Open-Source-Framework OpenClaw, das ursprünglich für automatisierte Workflows und komplexe Aufgaben entwickelt wurde.
Die Angreifer missbrauchen die weitreichenden Systemrechte der KI-Agenten, um Schadsoftware unbemerkt in Unternehmens- und Entwicklerumgebungen einzuschleusen.
Manipulierter OpenClaw-Skill als Einfallstor
Kern der Kampagne ist ein präparierter Skill mit dem Namen „DeepSeek-Claw“. Auf den ersten Blick wirkt das Repository wie eine legitime Erweiterung für die Integration von KI-Funktionen. Tatsächlich enthält es jedoch manipulierte Installationsanweisungen, die versteckte Schadsoftware nachladen.
Besonders kritisch: Die enthaltenen Befehle können entweder manuell ausgeführt oder direkt von einem KI-Agenten automatisch verarbeitet werden. Dadurch entfällt in vielen Fällen eine bewusste Benutzerinteraktion – die Kompromittierung läuft nahezu unbemerkt ab.
Die Forscher sehen darin eine neue Qualität von Angriffen, da automatisierte KI-Workflows selbst zum Angriffskanal werden.
Unterschiedliche Malware für verschiedene Systeme
Die Schadsoftware passt sich flexibel an das jeweilige Betriebssystem an. Unter Windows wird laut Zscaler der bekannte Fernzugriffstrojaner Remcos RAT installiert. Für macOS- und Linux-Systeme setzen die Angreifer dagegen auf den plattformübergreifenden Information-Stealer GhostLoader.
Unter Windows erfolgt die Infektion über eine versteckte PowerShell-Anweisung, die ein manipuliertes Installationspaket herunterlädt. Dieses enthält neben einer legitimen Datei der Software GoToMeeting auch eine schädliche Programmbibliothek.
Durch sogenanntes DLL-Sideloading wird die Schadsoftware automatisch geladen, sobald die legitime Anwendung startet. Die Malware versteckt sich damit hinter einem vertrauenswürdigen Prozess und erschwert die Erkennung erheblich.
Sicherheitsmechanismen gezielt ausgeschaltet
Nach der Aktivierung manipuliert der Schadcode laut den Forschern mehrere Schutzmechanismen direkt im Arbeitsspeicher. Unter anderem werden Windows-Sicherheitsfunktionen wie ETW und AMSI deaktiviert, die normalerweise verdächtige Aktivitäten protokollieren oder Malware erkennen sollen.
Zusätzlich kommen Anti-Debugging-Techniken und Verschleierungsmechanismen zum Einsatz, um Sicherheitsanalysen und Sandbox-Prüfungen zu umgehen. Erst danach wird die eigentliche Schadsoftware entschlüsselt und ausgeführt.
Die Angreifer erhalten so weitreichenden Fernzugriff auf kompromittierte Systeme.
Auf macOS- und Linux-Systemen konzentriert sich die Kampagne vor allem auf den Diebstahl sensibler Entwicklerdaten. Die Malware GhostLoader ist speziell darauf ausgelegt, Zugangsdaten und Entwicklungsinformationen aus modernen Arbeitsumgebungen abzugreifen.
Versteckt in manipulierten npm-Skripten und Shell-Befehlen fordert die Schadsoftware Nutzer unter anderem zur Eingabe von Administrator-Passwörtern auf. Anschließend werden SSH-Schlüssel, Cloud-Tokens, Wallet-Daten und Inhalte aus Passwortspeichern gesammelt und verschlüsselt an Server der Angreifer übertragen.
Neue Risiken durch autonome KI-Agenten
Die Analyse von Zscaler zeigt, wie schnell sich neue Technologien in potenzielle Angriffsflächen verwandeln können. Besonders problematisch ist die Kombination aus klassischen Angriffstechniken und KI-gestützter Automatisierung.
Da autonome KI-Agenten zunehmend in Entwicklungsprozesse integriert werden, wächst auch das Risiko durch manipulierte Erweiterungen und externe Skills. Sicherheitsprüfungen für Drittanbieter-Komponenten gewinnen dadurch massiv an Bedeutung.
Unternehmen sollten laut den Forschern externe Plugins und KI-Erweiterungen konsequent validieren und deren Verhalten kontinuierlich überwachen. Nur so lasse sich verhindern, dass automatisierte KI-Workflows selbst zum Einfallstor für Cyberangriffe werden.
