Kripto para piyasası güvenlik dünyası OpenClaw ekosisteminde ortaya çıkan yeni bir tedarik zinciri saldırısıyla sarsıldı. Weixin‘in 9 Şubat 2026 tarihinde bildrdiğine göre siber güvenlik şirketi SlowMist tarafından paylaşılan analiz ClawHub eklenti merkezinde ciddi denetim açıkları bulunduğunu ortaya koydu. Yetersiz inceleme süreçleri zararlı yazılım barındıran çok sayıda eklentinin sisteme sızmasına zemin hazırladı. Olay yalnızca geliştiricileri değil kripto para odaklı araçlara güvenen son kullanıcıları da doğrudan etkiledi.
ClawHub Eklentilerinde Tehlikeli Sızıntı
Yapılan incelemeler ClawHub platformundaki zayıf kullanıcı yorumları ve yüzeysel kontroller nedeniyle kötü niyetli kodların uzun süre fark edilmeden yayılabildiğini gösterdi. Koi Security tarafından gerçekleştirilen taramada 2.857 farklı eklenti mercek altına alındı. 341 tanesinin zararlı olduğu tespit edildi. Oran platform genelindeki güvenlik anlayışının sorgulanmasına yol açtı.
Zararlı eklentilerin önemli bölümü masum işlevler sunan araçlar gibi davrandı. Kod yapıları ilk aşamada gizlendi. Ardından dış kaynaklardan ikinci aşama yükler indirildi. Kullanıcı tarafında olağan bir eklenti deneyimi algısı oluştu ancak arka planda çok daha farklı süreçler çalıştı.
İki Aşamalı Saldırı ve Organize Yapı
SlowMist ekibi dört yüzü aşkın IOC üzerinden detaylı bir analiz yürüttü. Bulgular saldırıların rastgele yapılmadığını, belirli alan adları ve IP adresleri etrafında organize edildiğini ortaya koydu. Aynı altyapının farklı eklentilerde tekrar tekrar kullanıldığı belirlendi.
Öne çıkan örneklerden biri “X Trends” adlı eklenti oldu. İlgili yazılım Base64 ile gizlenmiş bir arka kapı barındırdı. Söz konusu arka kapı uzaktan sunucularla bağlantı kurdu. Zararlı yazılımlar indirdi ve çalıştırdı. Süreç sonunda kullanıcı parolaları ele geçirildi. Dosyalar toplandı ve tüm veriler komuta kontrol sunucularına aktarıldı. Analizler saldırıların dalga halinde ve planlı biçimde ilerlediğini doğruladı.