برنامج GhostClaw الخبيث يسرق بيانات المحفظة المشفرة للمطورين عبر حزمة npm.

أفادت PANews في 23 مارس أنه وفقًا لـ Cryptopolitan، تستهدف برمجية خبيثة جديدة تسمى GhostClaw المحافظ المشفرة على أجهزة macOS. هذه البرمجية الخبيثة، المتنكرة في هيئة أداة OpenClaw CLI الشرعية، كانت موجودة في سجل npm لمدة أسبوع، وأصابت 178 مطورًا قبل إزالتها في 10 مارس. بمجرد تشغيل المطور لأمر "npm install"، يقوم نص مخفي بتثبيت حزمة GhostClaw عالميًا، متهربًا من الكشف من خلال ملفات التكوين المشوشة.

يقوم GhostClaw بمسح الحافظة كل ثلاث ثوانٍ، لالتقاط بيانات المحفظة المشفرة والمعاملات ذات الصلة مثل المفاتيح الخاصة والعبارات التذكيرية والمفاتيح العامة. بعد تنزيل الحمولة في المرحلة الثانية، يقوم GhostLoader بمسح بيانات المحفظة المشفرة في متصفح Chromium وسلسلة مفاتيح macOS وتخزين النظام، ويستنسخ جلسات المتصفح للحصول على وصول إلى المحافظ المسجل دخولها، ويسرق رموز API المتصلة بمنصات الذكاء الاصطناعي مثل OpenAI وAnthropic. يتم إرسال البيانات المسروقة إلى المهاجمين عبر Telegram وGoFile وخوادم الأوامر.