慢雾：ClawHub 开发者请注意钓鱼和凭据泄露风险

ChainCatcher 消息，慢雾科技首席信息安全官 23pds 发文提醒称，ClawHub 开发者请注意钓鱼和凭据泄露风险。目前 ClawHub 依赖开发者 GitHub 一键登录，之前 Sha1-Hulud 蠕虫窃取大量开发者的 GitHub 凭据，攻击者可能会伺机攻击 Skills。

攻击路径为：凭证窃取→攻击者获取 GitHub 权限→以开发者身份登录 ClawHub→发布恶意 Skills 植入后门→用户下载安装后执行恶意代码导致系统入侵。