Malware-ul GhostClaw fură datele criptate ale portofelelor dezvoltatorilor prin intermediul unui pachet npm.

PANews a raportat pe 23 martie că, conform Cryptopolitan, un nou malware numit GhostClaw vizează portofele criptate pe dispozitivele macOS. Acest malware, deghizat ca instrumentul legitim OpenClaw CLI, a existat în registrul npm timp de o săptămână, infectând 178 de dezvoltatori înainte de a fi eliminat pe 10 martie. Odată ce un dezvoltator execută comanda "npm install", un script ascuns instalează global pachetul GhostClaw, evitând detectarea prin fișiere de configurare obscurizate.

GhostClaw scanează clipboard-ul la fiecare trei secunde, capturând date ale portofelului criptat și date legate de tranzacții, cum ar fi cheile private, frazele mnemonice și cheile publice. După descărcarea payload-ului în a doua fază, GhostLoader scanează datele portofelului criptat în browserul Chromium, macOS Keychain și stocarea sistemului, clonează sesiunile browserului pentru a obține acces la portofele autentificate și fură token-uri API conectate la platforme AI precum OpenAI și Anthropic. Datele furate sunt trimise atacatorilor prin Telegram, GoFile și servere de comandă.