ClawHavoc Campaign: Erste großangelegte Supply-Chain-Attacke auf ein AI-Agent-Ökosystem

Im Januar 2026 wurde die ClawHavoc-Kampagne aufgedeckt: 1.184 bösartige Skills verteilt über 12 koordinierte Publisher-Accounts, alle verbunden mit C2-Infrastruktur an IP 91.92.242.30. Auf dem Höhepunkt der Kampagne waren fünf der sieben meistgeladenen ClawHub-Skills bestätigte Malware.

Die Skills lieferten Atomic Stealer (AMOS) aus — eine macOS-Malware, die gezielt Krypto-Wallets, SSH-Keys und Browser-Credentials entwendet. Die Täuschung war professionell: Impersonierte Skill-Namen wie "Google Workspace", "Solana Wallet Tracker" und "YouTube Summarize Pro" deckten genau die meistgesuchten Kategorien ab.

Besonders alarmierend: Drei Zeilen Markdown in einer SKILL.md-Datei reichten aus, um SSH-Keys zu exfiltrieren. Der Angriff nutzte nicht nur Code-Execution, sondern auch Natural-Language-Instruction-Injection — Forschungsergebnisse bestätigen, dass 100% der bösartigen Skills beide Angriffsvektoren kombinierten.

Fortgeschrittene Varianten schrieben Backdoor-Instruktionen in Agent-Identity-Files (SOUL.md, MEMORY.md), die auch nach Deinstallation des Skills aktiv blieben. ClawHub hatte zum Zeitpunkt der Kampagne kein automatisiertes Scanning — ein Publisher-Account mit einer Woche Alter reichte zum Upload.

Was bei npm nach Jahren schmerzhafter Vorfälle zu Lockfiles, SBOMs und Dependency Reviews geführt hat, fehlt in AI-Agent-Ökosystemen noch fast vollständig. ClawHavoc (OWASP AST01/AST02) ist der erste dokumentierte Angriff in diesem Maßstab.