Złośliwe oprogramowanie GhostClaw kradnie zaszyfrowane dane portfela deweloperów za pośrednictwem pakietu npm.

PANews poinformował 23 marca, że według Cryptopolitan, nowe złośliwe oprogramowanie o nazwie GhostClaw atakuje zaszyfrowane portfele na urządzeniach macOS. To złośliwe oprogramowanie, zamaskowane jako legalne narzędzie OpenClaw CLI, istniało w rejestrze npm przez tydzień, infekując 178 deweloperów przed usunięciem 10 marca. Gdy deweloper uruchomi polecenie "npm install", ukryty skrypt globalnie instaluje pakiet GhostClaw, unikając wykrycia poprzez zaciemnione pliki konfiguracyjne.

GhostClaw skanuje schowek co trzy sekundy, przechwytując dane zaszyfrowanego portfela i transakcji, takie jak klucze prywatne, frazy mnemoniczne i klucze publiczne. Po pobraniu ładunku w drugiej fazie, GhostLoader skanuje dane zaszyfrowanego portfela w przeglądarce Chromium, macOS Keychain i pamięci systemowej, klonuje sesje przeglądarki, aby uzyskać dostęp do zalogowanych portfeli, i kradnie tokeny API połączone z platformami AI, takimi jak OpenAI i Anthropic. Skradzione dane są wysyłane do atakujących za pośrednictwem Telegram, GoFile i serwerów poleceń.