GhostClaw恶意软件从开发者钱包中窃取数据 - Coinfea

黑客正在使用一种名为GhostClaw的新型恶意软件，针对macOS设备上的加密钱包。伪造的OpenClaw安装程序在安装后会捕获私钥、钱包访问权限及其他敏感数据。该假包由名为‘openclaw-ai’的用户于3月3日上传。

内容 GhostClaw恶意软件扫描剪贴板以获取加密数据 攻击者加大加密盗窃活动 该恶意软件在npm注册表中存在一周，至3月10日被移除，期间已感染约178名开发者。据报道，@openclaw-ai/openclawai假扮成合法的OpenClaw CLI工具，但实际上执行多阶段攻击。恶意软件从开发者处收集敏感数据，包括加密钱包、macOS钥匙串密码、云端凭据、SSH密钥和AI代理配置。提取的数据连接黑客与云平台、代码库及加密货币。

GhostClaw恶意软件扫描剪贴板以获取加密数据

研究人员指出，GhostClaw恶意软件每三秒监控一次剪贴板，以捕获加密数据，包括私钥、助记词、公钥及其他与钱包和交易相关的敏感信息。一旦开发者运行‘npm install’命令，隐藏脚本会在全局范围内安装GhostClaw包。该工具在开发者的机器上运行一个混淆的安装文件，以避免被检测。

随后，屏幕上会出现一个伪造的OpenClaw CLI安装程序。它会通过钥匙串请求提示受害者输入macOS密码。恶意软件使用本地系统工具验证密码。之后，它会从远程C2服务器下载第二个JavaScript载荷。该载荷名为GhostLoader，作为数据窃取器和远程访问工具。第二个载荷下载后，数据盗取开始。

GhostLoader承担主要任务。它扫描Chromium浏览器、macOS钥匙串和系统存储中的加密钱包数据，还几乎持续监控剪贴板以捕获敏感加密数据。恶意软件甚至克隆浏览器会话，使黑客可以直接访问已登录的加密钱包及相关服务。此外，该恶意工具还窃取连接开发者与OpenAI、Anthropic等AI平台的API令牌。

攻击者加大加密盗窃活动

被盗数据随后通过Telegram、GoFile和指令服务器传送给威胁行为者。该恶意软件还能执行多条命令、部署更多载荷并开启新的远程访问通道。另一场依赖OpenClaw炒作的恶意活动也在GitHub上传播。该恶意软件由OX Security的网络安全研究人员发现，旨在直接联系开发者并窃取加密数据。

攻击者在GitHub仓库中创建问题讨论串并标记潜在受害者，然后虚假声称这些开发者有资格获得价值5000美元的CLAW代币。随后，信息引导受害开发者访问一个伪造网站，该网站与openclaw[.]ai一模一样。钓鱼网站会发出连接加密钱包的请求，受害者接受后会启动有害操作。将钱包连接到该网站可能导致加密资金瞬间被盗，OX Security的研究人员发出警告。

进一步分析显示，该钓鱼设置使用重定向链，连接到token-claw[.]xyz和watery-compost[.]today的指令服务器。一个带有恶意代码的JavaScript文件会窃取加密钱包地址和交易信息，并将其发送给黑客。OX Security还发现一个与威胁行为者相关联的钱包地址，可能存有被盗的加密货币。恶意代码具备监控用户操作和删除本地存储数据的功能，这使得恶意软件的检测和分析变得更加困难。