Cybersecurity-Forscher haben eine ausgeklügelte Malware entdeckt, die Kryptogeldbörsen leerräumt und Passwort-Manager plündert.
Die Angreifer locken Entwickler und Krypto-Enthusiasten mit einer täuschend echten Nachbildung der OpenClaw-Website. Dort laden sie einen 130 Megabyte großen Schädling herunter, der in der Programmiersprache Rust geschrieben ist. Die Größe ist kein Zufall: Sie umgeht die Scan-Limits vieler Virenschutzprogramme und die Upload-Grenzen automatisierter Testumgebungen.
Die wachsende Zahl raffinierter Angriffe auf KI-Nutzer verdeutlicht, wie wichtig ein proaktiver Schutz der IT-Infrastruktur heute ist. Dieser kostenlose Ratgeber enthüllt aktuelle Cyberbedrohungen und zeigt Ihnen, wie Sie Sicherheitslücken effektiv schließen. Gratis-E-Book: IT-Sicherheit jetzt stärken
Die „Hologram“-Tarnung und ihre Tricks
Die Malware tarnt sich als „Hologram“ – ein taktisches Ablenkungsmanöver, wie die Entwickler selbst einräumen. Doch die wahre Funktion ist weitaus perfider. Sobald das Programm startet, führt es eine mehrstufige Anti-Analyse-Routine aus. Es prüft auf virtuelle Maschinen und bestimmte BIOS-Kennungen, die typisch für Forschungsumgebungen sind. Besonders raffiniert: Der Schädling bleibt inaktiv, bis er echte Mausbewegungen eines physischen Nutzers registriert. Automatisierte Sandboxen, die keine menschliche Interaktion simulieren, beißen sich daran die Zähne aus.
Hat die Malware die Umgebung als legitimes Ziel bestätigt, legt sie die Abwehrmechanismen des Systems lahm. Sie deaktiviert Microsoft Defender, fügt Ausschlusspfade hinzu und öffnet Firewall-Ports. Diese Ports dienen als Einfallstor für eine zweite Schadsoftware-Stufe, die den Angreifern dauerhaften Zugriff ermöglicht.
250 Erweiterungen im Visier
Die Angreifer haben ein breites Beuteschema: Über 200 verschiedene Kryptogeldbörsen stehen auf ihrer Liste, darunter MetaMask, Phantom, Coinbase, OKX, Rabby und Ronin. Die Ziel-Liste wird auf einem entfernten Server gehostet – konkret in einer Azure-DevOps-Organisation der Angreifer. Das erlaubt ihnen, die Ziele in Echtzeit zu aktualisieren, ohne die Malware neu kompilieren zu müssen.
Doch damit nicht genug: Die Schadsoftware greift auch 49 verschiedene Passwort-Manager und Zwei-Faktor-Authentifizierungs-Tools an. Bitwarden, LastPass, 1Password, NordPass, KeePass, Dashlane und Google Authenticator sind betroffen. Werden die sensiblen Datenbanken und Konfigurationsdateien geknackt, haben die Täter die gesamte digitale Identität ihrer Opfer in der Hand.
Ein spezielles Modul konzentriert sich auf Ledger Live. Es greift direkt auf die Dateisystem-Daten zu, statt nur auf Browser-Erweiterungen. Selbst Nutzer von Hardware-Wallets sind nicht sicher, wenn ihre lokale Verwaltungssoftware kompromittiert ist.
Sicherheitskrise für KI-Frameworks
Die „Hologram“-Kampagne ist nur das jüngste Kapitel einer anhaltenden Sicherheitskrise für OpenClaw. Das Projekt, ursprünglich als Clawdbot gestartet und später über Moltbot zum heutigen Namen gelangt, steht seit Jahresbeginn unter Beschuss. Ein Sicherheitsaudit im Februar förderte Hunderte Schwachstellen zutage, darunter kritische Remote-Code-Ausführungs-Lücken wie CVE-2026-25253 mit einem CVSS-Score von 8,8.
Obwohl die Entwickler Ende Januar Patches veröffentlichten, bleiben Zehntausende OpenClaw-Instanzen ungeschützt und dem öffentlichen Internet ausgesetzt. Branchenanalysten von SecurityScorecard und CertiK berichten, dass ein erheblicher Teil noch immer anfällig für Authentifizierungsumgehungen und Command-Injection-Angriffe ist.
Neben technischen Schwachstellen nutzen Hacker oft gezielt psychologische Tricks, um in Unternehmensnetzwerke einzudringen. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen wirksam vor Cyberkriminalität absichern. Kostenlosen Phishing-Ratgeber herunterladen
Bereits im Frühjahr zeigte die „ClawHavoc“-Kampagne die Risiken der modularen „Skill“-Architektur. Tausende bösartige Pakete wurden auf den offiziellen Marktplatz ClawHub hochgeladen, die Schadsoftware wie den Atomic macOS Stealer (AMOS) verbreiteten. Zscaler ThreatLabz entdeckte zudem einen täuschenden Skill namens „DeepSeek-Claw“, der den Remcos-RAT-Trojaner und GhostLoader auslieferte.
Telegram als Kommandozentrale
Besonders raffiniert ist die Kommunikationsinfrastruktur der Malware. Statt einer fest einprogrammierten Server-Adresse – die leicht blockiert werden könnte – bezieht der Schädling seine Konfiguration und Zielanweisungen aus einem Telegram-Kanal. Zur weiteren Verschleierung nutzt die Malware Hookdeck, einen legitimen Webhook-Relay-Dienst. So verbergen die Angreifer ihre Telegram-Bot-Tokens und die Hintergrund-Infrastruktur vor direkter Überprüfung.
Diese operative Sicherheit spiegelt einen trend zum „Malware-as-a-Service“ wider. Selbst weniger technisch versierte Kriminelle können hochwirksame Werkzeuge gegen Nischen wie die KI-Entwickler-Community einsetzen. Die Nutzung legitimer Dienste wie Azure DevOps und Hookdeck macht es für Organisationen zunehmend schwer, bösartige Aktivitäten von normalen Entwickler-Workflows zu unterscheiden.
Gefahr durch „Schatten-Adoption“
Marktforscher von Gartner warnen Unternehmen vor der „Schatten-Adoption“ von KI-Agenten. Da OpenClaw erhöhte Systemrechte benötigt – etwa zum Ausführen von Terminal-Befehlen und Verwalten von Kalendern – kann eine einzige Kompromittierung zur vollständigen Systemübernahme führen. Experten betonen, dass die Geschwindigkeit der Adoption die Entwicklung robuster Sicherheitsrichtlinien deutlich überholt hat. KI-Assistenten wirken bei unsachgemäßer Sicherung wie ein „Insider-Bedrohung“.
Ausblick
Mitte Mai 2026 kämpft das OpenClaw-Projekt weiter mit den Herausforderungen schnellen Feature-Wachstums und einer wachsenden Angriffsfläche. Zwar ist das Projekt in eine unabhängige Stiftung übergegangen und hat strengere Code-Analyse-Tools für seinen Marktplatz integriert. Doch die anhaltende „Hologram“-Welle zeigt: Die Angreifer sind einen Schritt voraus, indem sie den Installationsprozess angreifen, nicht das Framework selbst.
Sicherheitsexperten empfehlen, alle OpenClaw-Downloads gegen offizielle kryptografische Signaturen zu prüfen und Installer von Drittanbietern sowie nicht verifizierte Marktplatz-Skills zu meiden. Für Unternehmen bleibt die Empfehlung: striktes Verhaltensmonitoring und die Durchsetzung des Least-Privilege-Prinzips für alle autonomen KI-Agenten. Der Kampf um die Sicherheit agentischer Workflows wird die Cybersicherheitslandschaft wohl noch lange prägen.
