Il 2026 sta confermando una tendenza tanto affascinante quanto pericolosa: la progressiva adozione di flussi di lavoro basati su agenti AI autonomi (agentic AI workflows) sta aprendo nuove, inedite falle di sicurezza. L’ultimo allarme in ordine di tempo arriva dai ricercatori di Zscaler ThreatLabz, che hanno individuato una sofisticata campagna mirata a colpire gli sviluppatori e gli ecosistemi aziendali attraverso la manipolazione di un noto framework open-source: OpenClaw.
Che cos’è OpenClaw e come viene manipolato
Precedentemente noto con i nomi di Clawdbot, Moltbot e Molty, OpenClaw è un framework open-source progettato per consentire ad agenti AI autonomi di eseguire compiti complessi che richiedono privilegi elevati a livello di sistema locale. Il cuore di questo strumento si basa su un’architettura modulare di “abilità” (skills).
I cybercriminali hanno sfruttato esattamente questo meccanismo. Nel marzo 2026, gli attaccanti hanno pubblicato un plugin ingannevole chiamato “DeepSeek-Claw” all’interno dei marketplace di codice (come GitHub). All’interno del file di configurazione (SKILL.md), i criminali hanno inserito istruzioni malevole manipolate.
Il paradosso dell’attacco sta nel fatto che non è necessaria l’interazione umana: sono gli stessi agenti AI autonomi a interpretare il file di markup, avviando silenziosamente il download e l’esecuzione dei payload nascosti nel codice di installazione.
L’infezione su Windows: DLL Sideloading e Remcos RAT
Se l’ambiente target esegue Windows, il framework OpenClaw attiva una complessa catena di infezione:
- Download Silenzioso: Tramite il comando standard
msiexec, il sistema scarica ed esegue un pacchetto di installazione remoto (MSI) senza mostrare alcuna finestra all’utente. - L’inganno di GoToMeeting: L’installer deposita un file eseguibile legittimo e firmato digitalmente appartenente al software di videoconferenza GoToMeeting (
G2M.exe). - DLL Side-Loading: Sfruttando la fiducia del sistema verso l’eseguibile firmato, i criminali iniettano una DLL malevola (
g2m.dll) che funge da caricatore di shellcode eludendo le difese basate sulle firme digitali. - Disattivazione dei Sistemi Antivirus: Il caricatore agisce direttamente in memoria effettuando il patching dinamico di due componenti critici di Windows: l’AMSI (Antimalware Scan Interface) e l’ETW (Event Tracing for Windows), accecando di fatto i sistemi EDR e gli antivirus locali.
Il payload finale è il noto Remcos RAT, un trojan di accesso remoto che stabilisce una connessione cifrata (TLS/TCP) con il server di comando e controllo (C2). Da quel momento, l’attaccante ha il controllo totale della macchina: può registrare i tasti digitati (keylogging), sottrarre i dati degli appunti (clipboard) ed esfiltrare i cookie di sessione dai database SQLite dei browser per aggirare l’autenticazione a due fattori (MFA).
L’infezione su macOS e Linux: Arriva GhostLoader
I criminali non hanno trascurato gli sviluppatori che operano su sistemi Unix-like. Se l’installazione del plugin avviene su macOS o Linux (ad esempio tramite script install.sh o comandi npm install), viene attivata una catena alternativa gestita da un payload Node.js fortemente offuscato (setup.js).
In questo caso, l’attacco distribuisce GhostLoader (noto anche come GhostClaw), un potente information stealer multipiattaforma specializzato nel saccheggio degli ambienti di sviluppo. Su macOS e Linux, lo script simula falsi prompt del terminale per indurre l’utente a digitare la password di amministratore (sudo). Una volta ottenuti i privilegi, GhostLoader rastrella chiavi SSH, credenziali salvate nel Keychain di macOS, portafogli di criptovalute e token API dei servizi cloud (come AWS o GitHub).
Conclusioni e impatto sulla Governance Aziendale
Questa campagna evidenzia un salto di qualità nelle tattiche della supply chain dei software. I criminali hanno capito che gli assistenti AI e gli agenti di programmazione autonomi (un trend in fortissima crescita nel 2026) leggono ed eseguono configurazioni di terze parti con un livello di fiducia implicito troppo elevato.
L’attacco si inserisce perfettamente nel dibattito sulla necessità di adottare un modello rigoroso di Zero Trust (“never trust, always verify”), estendendo la verifica continua non solo agli utenti umani, ma anche agli agenti digitali automatizzati. Le aziende devono implementare un monitoraggio comportamentale stringente sui plugin di terze parti per evitare che l’AI, nata per aumentare la produttività, si trasformi involontariamente nel perfetto complice di un’intrusione informatica.
