Phần mềm độc hại GhostClaw đánh cắp dữ liệu ví mã hóa của các nhà phát triển thông qua gói npm.

PANews đưa tin ngày 23 tháng 3 rằng, theo Cryptopolitan, một phần mềm độc hại mới có tên GhostClaw đang nhắm mục tiêu vào ví mã hóa trên các thiết bị macOS. Phần mềm độc hại này, ngụy trang dưới dạng công cụ OpenClaw CLI hợp pháp, đã tồn tại trong npm registry trong một tuần, lây nhiễm 178 nhà phát triển trước khi bị gỡ bỏ vào ngày 10 tháng 3. Một khi nhà phát triển chạy lệnh "npm install", một script ẩn sẽ cài đặt gói GhostClaw toàn cục, trốn tránh phát hiện thông qua các tệp cấu hình bị làm rối.

GhostClaw quét clipboard cứ mỗi ba giây, thu thập dữ liệu liên quan đến ví mã hóa và giao dịch như khóa riêng tư, cụm từ ghi nhớ và khóa công khai. Sau khi tải xuống payload trong giai đoạn thứ hai, GhostLoader quét dữ liệu ví mã hóa trong trình duyệt Chromium, macOS Keychain và bộ nhớ hệ thống, sao chép các phiên trình duyệt để có quyền truy cập vào ví đã đăng nhập và đánh cắp token API được kết nối với các nền tảng AI như OpenAI và Anthropic. Dữ liệu bị đánh cắp được gửi đến kẻ tấn công thông qua Telegram, GoFile và máy chủ lệnh.