慢霧：ClawHub 開發者請注意釣魚和憑據洩露風險

ChainCatcher 消息，慢霧科技首席信息安全官 23pds 發文提醒稱，ClawHub 開發者請注意釣魚和憑據洩露風險。目前 ClawHub 依賴開發者 GitHub 一鍵登入，之前 Sha1-Hulud 蠕蟲竊取大量開發者的 GitHub 憑據，攻擊者可能會伺機攻擊 Skills。

攻擊路徑為：憑證竊取→攻擊者獲取 GitHub 權限→以開發者身份登入 ClawHub→發布惡意 Skills 植入後門→用戶下載安裝後執行惡意代碼導致系統入侵。