O căutare pe Bing i-a trimis pe utilizatori către un program infectat. Legătura cu OpenClaw
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/bing-ai.jpg)
Un nou incident de securitate arată cât de repede poate fi exploatată popularitatea unui produs AI care devine viral. Utilizatorii care au căutat în Bing expresia „OpenClaw Windows” au fost direcționați de rezultatele generate cu AI către un depozit GitHub malițios, de unde au descărcat instalatoare false ce livrau programe de tip infostealer și malware proxy pe sistemele compromise. Cazul a fost documentat de cercetătorii Huntress, iar depozitul respectiv a fost eliminat ulterior.
Incidentul scoate în evidență două probleme care se întâlnesc tot mai des în ecosistemul AI. Prima este viteza cu care atacatorii folosesc notorietatea unor proiecte populare pentru a împinge utilizatorii spre capcane credibile. A doua este faptul că platforme percepute ca de încredere, precum GitHub, pot fi transformate în vehicule de distribuție pentru malware atunci când utilizatorii nu verifică atent sursa, vechimea contului și istoricul proiectului. În acest caz, combinația dintre reputația GitHub și validarea implicită oferită de rezultatele Bing AI a făcut ca instalatorul fals să pară legitim la prima vedere.
OpenClaw era deja un nume aflat în centrul discuțiilor din industrie, după creșterea rapidă a popularității și după mai multe avertismente de securitate legate de ecosistemul său. Tocmai această vizibilitate a creat terenul perfect pentru campania malițioasă. Atacatorii nu au avut nevoie să construiască un brand fals de la zero, ci doar să se agațe de interesul existent și să împingă un rezultat periculos în fața celor care căutau varianta de Windows a aplicației.
Cum a funcționat schema și de ce a părut credibilă
Potrivit cercetătorilor Huntress, depozitele GitHub malițioase au fost active între 2 și 10 februarie 2026. Echipa a descoperit compromiterea pe 9 februarie, după ce un utilizator a descărcat și a rulat instalatorul fals. Analiza a arătat că victima ajunsese la acel depozit după o căutare în Bing, unde sugestia generată cu AI trimitea direct către un repository nou creat, prezentat ca soluție pentru „OpenClaw Windows”.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/e3368a77cb187ceb719b1cfae6d750d8-t.jpg)
Succesul operațiunii a fost alimentat de mai mulți factori. În primul rând, OpenClaw are o prezență masivă pe GitHub, cu un număr mare de proiecte conexe, ceea ce face mai greu pentru utilizatorul obișnuit să distingă rapid între un repository autentic și unul fals. În al doilea rând, organizarea vizuală a paginii a fost gândită ca să inspire încredere: atacatorii au folosit o organizație denumită „openclaw-installer”, un nume care suna suficient de apropiat de proiectul real încât să nu ridice suspiciuni imediate.
Existau, totuși, semnale de alarmă. Contul GitHub implicat fusese creat abia în septembrie 2025 și nu avea activitate publică relevantă până când a început să promoveze alte repository-uri suspecte. Mai mult, profilul trimitea către un cont de X care nu exista, iar fotografia folosită era preluată de la alt utilizator. Toate aceste detalii indicau că era vorba despre o infrastructură construită rapid, special pentru distribuția malware-ului, nu despre un proiect software legitim.
Ancheta a mai arătat că atacatorii nu s-au bazat doar pe aparențe. O parte din codul din așa-zisul instalator era reală și provenea dintr-un proiect legitim, fapt care ajuta la mascarea componentei malițioase. Malware-ul era ascuns în secțiunea de „release”, sub numele „OpenClaw_x64.exe”, într-o arhivă. Pentru un utilizator care vedea o pagină GitHub bine aranjată și un executabil cu denumire plauzibilă, riscul de a descărca fișierul fără verificări suplimentare creștea considerabil.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/04/Inteligenta-artificiala-prompt-aprobare-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/05/Inteligenta-artificiala-date-utilizatori-316x158.jpg)
Ce a fost instalat pe sistemele compromise
După execuție, fișierul malițios instala mai multe componente pe sistem. Printre ele se aflau loadere scrise în Rust, concepute pentru a rula în memorie alte componente, o tehnică folosită frecvent pentru a evita detecția clasică bazată pe fișiere. Una dintre componentele identificate era cloudvideo.exe, un infostealer din familia Vidar, asociat cu furtul de credențiale și alte date sensibile.
Cercetătorii au mai identificat și serverdrive.exe, o variantă de GhostSocks. Acest tip de malware poate transforma sistemele compromise în proxy-uri rezidențiale, folosite ulterior pentru a masca traficul infractorilor și pentru a ocoli filtre de securitate. Astfel, un dispozitiv infectat poate ajunge să fie utilizat ca infrastructură pentru alte atacuri, fără ca proprietarul să își dea seama imediat.
Analiza a indicat și folosirea unui packer nou, denumit „stealth packer”, care nu mai fusese observat anterior în același context. În mostre au apărut mesaje de debug ce sugerau funcții precum injectarea de malware în memorie, adăugarea unor reguli în firewall, crearea unor taskuri ascunse și verificări de tip AntiVM, inclusiv teste care urmăresc mișcarea mouse-ului înainte de decriptarea componentei finale. Acest comportament indică o campanie gândită să reziste mai bine în fața detectării automate.
În timpul investigației, Huntress a identificat și alte conturi și organizații folosite pentru distribuirea de malware, inclusiv clone apărute imediat după eliminarea repository-ului inițial. Unul dintre dubluri a fost creat la doar o zi după închiderea primei pagini, semn că operatorii campaniei au încercat să refacă rapid infrastructura și să păstreze fluxul de infectări.
Avertisment pentru cei care caută instalatoare prin motoare de căutare
Cazul apare într-un moment în care OpenClaw era deja asociat cu riscuri de securitate și cu atenționări privind potențiale vulnerabilități în ecosistem. În acest context, utilizatorii se confruntă cu două tipuri de pericol: pe de o parte, riscul de a instala versiuni false, împinse în rezultate de căutare; pe de altă parte, riscuri care pot apărea chiar și din folosirea unor aplicații populare dacă acestea nu sunt configurate sau izolate corect.
Incidentul evidențiază și un fenomen care se accentuează: rezultatele de căutare asistate de AI pot amplifica credibilitatea unei surse compromise. Dacă un link este prezentat ca „recomandat” sau apare evidențiat, mulți utilizatori presupun că a fost validat. În realitate, un rezultat poate ajunge în față doar pentru că pare relevant sau este optimizat să apară acolo.
Pentru utilizatori, concluzia este simplă: un repository apărut recent, fără istoric solid și fără legături verificabile, nu ar trebui tratat ca sursă sigură, chiar dacă apare sus în rezultate. În actualul val de atacuri, un download făcut din grabă poate transforma un instrument AI popular într-o breșă majoră de securitate.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/dcfefb642b07bced5f435c98e776ae3a-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/17f7be969c9155d0f9076e1516352a3a-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/2e308f8ebe96a9452dab92a81822ad91-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/59c06e326a4d8316a6e1887333f3756d-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/b905ad9fe3a3d1aaf225b425487b4b18-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/2491770cd6c017264174a39c4810c33e-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/4a496b4ab33f4760612981965da815d4-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/a2b4b7b9fbd8f37608e147347361fed7-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Munca-de-acasa.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/De-ce-nu-poate-Romania-sa-doboare-toate-dronele-rusesti-care-ii-incalca-spatiul-aerian.-Ce-sisteme-de-aparare-avem-in-prezent.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Romania-este-tot-mai-aproape-de-banii-din-PNRR.-A-4-a-cerere-de-plata-a-primit-unda-verde-la-nivel-european.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/avion-seattle.jpg)