मैलवेयर GhostClaw एक npm पैकेज के माध्यम से डेवलपर्स के एन्क्रिप्टेड वॉलेट डेटा को चुराता है।

PANews ने 23 मार्च को रिपोर्ट किया कि, Cryptopolitan के अनुसार, GhostClaw नामक एक नया मैलवेयर macOS डिवाइसों पर एन्क्रिप्टेड वॉलेट्स को निशाना बना रहा है। यह मैलवेयर, वैध OpenClaw CLI टूल के रूप में छिपा हुआ, npm रजिस्ट्री में एक सप्ताह तक मौजूद रहा, 10 मार्च को हटाए जाने से पहले 178 डेवलपर्स को संक्रमित किया। एक बार जब कोई डेवलपर "npm install" कमांड चलाता है, तो एक छिपी हुई स्क्रिप्ट GhostClaw पैकेज को ग्लोबली इंस्टॉल कर देती है, जो अस्पष्ट कॉन्फ़िगरेशन फ़ाइलों के माध्यम से पता लगाने से बच जाती है।

GhostClaw हर तीन सेकंड में क्लिपबोर्ड को स्कैन करता है, एन्क्रिप्टेड वॉलेट और लेनदेन से संबंधित डेटा जैसे प्राइवेट की, निमोनिक फ्रेज़ और पब्लिक की को कैप्चर करता है। दूसरे चरण में पेलोड डाउनलोड करने के बाद, GhostLoader Chromium ब्राउज़र, macOS Keychain और सिस्टम स्टोरेज में एन्क्रिप्टेड वॉलेट डेटा को स्कैन करता है, लॉग इन किए गए वॉलेट्स तक पहुंच प्राप्त करने के लिए ब्राउज़र सेशन को क्लोन करता है, और OpenAI और Anthropic जैसे AI प्लेटफॉर्म से जुड़े API टोकन चुराता है। चुराए गए डेटा को Telegram, GoFile और कमांड सर्वर के माध्यम से हमलावरों को भेजा जाता है।