SlowMist cảnh báo gói npm độc hại @openclaw-ai/openclawai

Công ty bảo mật SlowMist cảnh báo gói npm độc hại @openclaw-ai/openclawai giả mạo công cụ dòng lệnh OpenClaw Installe, dùng chuỗi tấn công nhiều lớp để đánh cắp thông tin nhạy cảm và dữ liệu ví tiền điện tử.

Thông tin được nêu trong báo cáo ngày 10/03, nhắm vào rủi ro cài đặt phụ thuộc npm. Gói giả mạo được mô tả có khả năng thu thập hàng loạt dữ liệu hệ thống và trình duyệt, bao gồm cả khóa riêng của ví tiền điện tử đã mã hóa.

Cảnh báo của SlowMist: gói npm giả mạo OpenClaw Installe

SlowMist cho biết @openclaw-ai/openclawai là gói npm độc hại, ngụy trang thành công cụ dòng lệnh OpenClaw Installe để lừa người dùng cài đặt.

Theo cảnh báo, gói này được thiết kế như một chuỗi tấn công nhiều lớp. Mục tiêu là chiếm đoạt thông tin xác thực hệ thống và các dữ liệu quan trọng khác, khiến rủi ro lan rộng từ tài khoản máy tính đến tài sản tiền điện tử.

Báo cáo nêu rõ gói có thể thu thập nhiều loại dữ liệu, cho thấy hành vi không chỉ tập trung vào một ứng dụng cụ thể mà khai thác các điểm lưu trữ phổ biến trên máy người dùng và môi trường làm việc của lập trình viên.

Dữ liệu bị nhắm tới: khóa ví, trình duyệt, SSH và Apple Keychain

Danh mục dữ liệu bị nhắm tới gồm: thông tin đăng nhập hệ thống, khóa riêng ví tiền điện tử đã mã hóa, dữ liệu trình duyệt, SSH keys và cơ sở dữ liệu Apple Keychain.

SlowMist cảnh báo gói có thể đánh cắp cả dữ liệu ví tiền điện tử ở dạng khóa riêng đã mã hóa, cùng các nguồn dữ liệu giúp leo thang truy cập như SSH keys và Apple Keychain databases. Điều này có thể mở đường cho truy cập trái phép vào máy chủ, tài khoản và các dịch vụ liên quan.

Ngoài ra, việc thu thập browser data và system credentials cho thấy mục tiêu có thể bao gồm cookies, dữ liệu đăng nhập và thông tin giúp chiếm quyền phiên, đồng thời mở rộng phạm vi xâm nhập qua các kênh người dùng thường xuyên sử dụng.