慢霧：ClawHub開發者請注意釣魚和憑據洩露風險

慢霧科技首席信息安全官23pds發文提醒稱，ClawHub開發者請注意釣魚和憑據洩露風險。目前ClawHub依賴開發者Github一鍵登錄，之前Sha1-Hulud蠕蟲竊取大量開發者的GitHub憑據，攻擊者可能會伺機攻擊Skills。

攻擊路徑為：憑證竊取→攻擊者獲取GitHub權限→以開發者身份登錄ClawHub→發布惡意Skills植入後門→用戶下載安裝後執行惡意代碼導致系統入侵。