GhostClaw惡意軟體從開發人員竊取錢包數據 - Coinfea

駭客正在使用名為 GhostClaw 的新型惡意軟體來攻擊 macOS 機器上的加密貨幣錢包。假冒的 OpenClaw 安裝程式在安裝後會捕捉私鑰、錢包存取權以及其他敏感資料。該假包於3月3日由一位名為 ‘openclaw-ai’ 的用戶上傳。

內容 GhostClaw 惡意軟體掃描剪貼簿以獲取加密資料 攻擊者加強其加密貨幣盜竊活動 該惡意軟體在 npm 註冊表上存在了一周，至今已感染約178名開發者，直到3月10日被移除。根據報導，@openclaw-ai/openclawai 假扮成合法的 OpenClaw CLI 工具，但實際上執行多階段攻擊。該惡意軟體從開發者那裡收集敏感資料，包括加密貨幣錢包、macOS Keychain 密碼、雲端憑證、SSH 金鑰和 AI 代理配置。所提取的資料將駭客與雲平台、程式碼庫和加密貨幣連結起來。

GhostClaw 惡意軟體掃描剪貼簿以獲取加密資料

研究人員指出，GhostClaw 惡意軟體每三秒監控一次剪貼簿，以捕捉加密資料，包括私鑰、種子短語、公鑰以及與加密貨幣錢包和交易相關的其他敏感資料。一旦開發者執行 ‘npm install’ 指令，一個隱藏的腳本會在全域範圍內安裝 GhostClaw 套件。該工具會在開發者的電腦上運行一個混淆的設定檔，以避免被偵測。

一個假冒的 OpenClaw CLI 安裝程式隨即出現在螢幕上。它會提示受害者通過 Keychain 請求輸入 macOS 密碼。惡意軟體會使用本地系統工具驗證密碼。之後，它會從遠端 C2 伺服器下載第二個 JavaScript 惡意載荷。該載荷名為 GhostLoader，作為資料竊取工具和遠端存取工具。資料竊取在第二個載荷下載後開始。

GhostLoader 負責主要工作。它會掃描 Chromium 瀏覽器、macOS Keychain 和系統存儲，以獲取加密貨幣錢包資料。它還幾乎不間斷地監控剪貼簿，以捕捉敏感的加密資料。惡意軟體甚至會克隆瀏覽器會話，讓駭客可以直接存取已登入的加密貨幣錢包和其他相關服務。此外，該惡意工具還會竊取連接開發者與 OpenAI 和 Anthropic 等 AI 平台的 API 令牌。

攻擊者加強其加密貨幣盜竊活動

被竊取的資料會通過 Telegram、GoFile 和指令伺服器傳送給威脅行為者。該惡意軟體還能執行多個指令、部署更多載荷並開啟新的遠端存取通道。另一個依賴 OpenClaw 熱潮的惡意活動也在 GitHub 上擴散。這些由資安研究人員來自 OX Security 發現的惡意軟體，旨在直接聯繫開發者並竊取加密資料。

攻擊者在 GitHub 儲存庫中建立問題討論串並標記潛在受害者，然後虛假聲稱被選中的開發者有資格獲得價值 5,000 美元的 CLAW 代幣。這些訊息會引導受害開發者前往一個與 openclaw[.]ai 完全相同的假網站。該釣魚網站會發送加密貨幣錢包連接請求，接受後會啟動有害行為。OX Security 的研究人員警告，將錢包連結到該網站可能會導致加密資金瞬間被盜。

進一步分析顯示，該釣魚設置使用重定向鏈，連結到 token-claw[.]xyz 和 watery-compost[.]today 的指令伺服器。一個含有惡意程式碼的 JavaScript 檔案會竊取加密貨幣錢包地址和交易資訊，並傳送給駭客。OX Security 發現一個與威脅行為者相關的錢包地址，可能持有被盜的加密貨幣。該惡意程式碼具有監控用戶行為和刪除本地存儲資料的功能，這使得惡意軟體的偵測與分析變得更加困難。