tradingkey.logo
tradingkey.logo
Suchen

GhostClaw zielt auf Entwickler ab, um den Zugriff auf Krypto-Wallets zutrac

CryptopolitanMar 22, 2026 11:43 PM
facebooktwitterlinkedin
Alle Kommentare anzeigen0

Eine neue Schadsoftware namens GhostClaw zielt auf Krypto-Wallets auf macOS-Rechnern ab. Das gefälschte OpenClaw-Installationsprogramm erfasst nach der Installation private Schlüssel, Wallet-Zugangsdaten und andere sensible Daten.

Das gefälschte Paket wurde am 3. März von einem Benutzer namens 'openclaw-ai' hochgeladen. Es blieb eine Woche lang im npm-Repository und infizierte 178 Entwickler, bevor es am 10. März entfernt wurde.

@openclaw-ai/openclawai gab sich als legitimes OpenClaw CLI-Tool aus, führte aber stattdessen einen mehrstufigen Angriff durch.

Die Schadsoftware sammelte sensible Daten von Entwicklern. SietracKrypto-Wallets, macOS-Schlüsselbundpasswörter, Cloud-dent, SSH-Schlüssel und Konfigurationen von KI-Agenten. DietracDaten ermöglichen es Hackern, Zugriff auf Cloud-Plattformen, Codebasen und Kryptowährungen zu erlangen.

GhostClaw durchsucht alle drei Sekunden die Zwischenablage nach Kryptodaten

Die Schadsoftware überwacht alle drei Sekunden die Zwischenablage, um Kryptodaten zu erfassen. Dazu gehören private Schlüssel, Seed-Phrasen, öffentliche Schlüssel und andere sensible Daten im Zusammenhang mit Krypto-Wallets und -Transaktionen.

Sobald der Entwickler den Befehl „npm install“ ausführt, installiert ein im Hintergrund laufendes Skript das GhostClaw -Paket global. Das Tool führt eine verschleierte Konfigurationsdatei auf den Rechnern der Entwickler aus, um eine Entdeckung zu vermeiden.

Anschließend erscheint ein gefälschter OpenClaw-CLI-Installer auf dem Bildschirm. Dieser fordert das Opfer auf, sein macOS-Passwort über eine Keychain-Anfrage einzugeben. Die Schadsoftware überprüft das Passwort mithilfe eines systemeigenen Tools. Danach lädt sie eine zweite JavaScript-Payload von einem entfernten C2-Server herunter. Diese Payload, genannt GhostLoader, dient dem Datendiebstahl und dem Fernzugriff.

Der Datendiebstahl beginnt nach dem zweiten Download der Payload. GhostLoader übernimmt die Hauptarbeit. Es durchsucht Chromium-Browser, den macOS-Schlüsselbund und den Systemspeicher nach Krypto-Wallet-Daten. Außerdem überwacht es nahezu permanent die Zwischenablage, um sensible Kryptodaten zu erfassen.

Die Schadsoftware klont sogar Browsersitzungen. Dadurch erhalten Hacker direkten Zugriff auf eingeloggte Krypto-Wallets und andere zugehörige Dienste. Darüber hinaus stiehlt das Schadprogramm API-Token, die Entwickler mit KI-Plattformen wie OpenAI und Anthropic verbinden.

Die gestohlenen Daten werden anschließend über Telegram, GoFile und Command-Server an die Angreifer gesendet. Die Schadsoftware kann zudem zahlreiche Befehle ausführen, weitere Schadsoftware installieren und neue Fernzugriffskanäle öffnen.

OpenClaw-Community Opfer eines gefälschten CLAW-Token-Airdrops

Eine weitere Schadsoftware-Kampagne, die den Hype um OpenClaw ausnutzt, verbreitete sich auf GitHub. Die von Cybersicherheitsforschern von OX Security entdeckte Malware

Angreifer erstellen Issue-Threads in GitHub-Repositories und markieren potenzielle Opfer. Anschließend behaupten sie fälschlicherweise, dass ausgewählte Entwickler Anspruch auf CLAW-Token im Wert von 5.000 US-Dollar hätten.

Die Nachrichten führen die Empfänger auf eine gefälschte Website, die openclaw[.]ai täuschend ähnlich sieht. Diese Phishing-Website sendet eine Anfrage zur Verbindung einer Krypto-Wallet, die nach Annahme durch das Opfer schädliche Aktionen auslöst. Die Verknüpfung einer Wallet mit der Website kann zum sofortigen Diebstahl von Kryptowährungen führen, warnen die Sicherheitsforscher von OX Security.

Weitere Analysen des Angriffs zeigen, dass die Phishing-Angriffe eine Weiterleitungskette zu token-claw[.]xyz und einen Command-Server unter watery-compost[.]today nutzen. Eine JavaScript-Datei mit Schadcode stiehlt anschließend Krypto-Wallet-Adressen und Transaktionen und sendet diese an den Angreifer.

OX Security hat eine Wallet-Adresse gefunden, die mit dem Angreifer in Verbindung steht und möglicherweise gestohlene Kryptowährung enthält. Der Schadcode verfügt über Funktionen zur Überwachung von Benutzeraktionen und zum Löschen von Daten aus dem lokalen Speicher. Dies erschwert die Erkennung und Analyse der Schadsoftware.

Die Angreifer konzentrieren sich wahrscheinlich auf Benutzer, die mit OpenClaw- bezogenen Repositories interagiert haben, um ihre Chancen auf Kryptodiebstahl zu erhöhen.

Beide Angriffe nutzen Social Engineering, um Zugriff auf die Krypto-Wallets der Opfer zu erlangen. Nutzer sollten ihre Krypto-Wallets nicht mit unbekannten Websites verknüpfen und bei unaufgeforderten Token-Angeboten auf GitHub vorsichtig sein.

Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden .

Haftungsausschluss: Die auf dieser Website bereitgestellten Informationen dienen ausschließlich Bildungs- und Informationszwecken und stellen keine Finanz- oder Anlageberatung dar

Kommentare (0)

Klicken Sie auf die $-Schaltfläche, geben Sie das Symbol ein und wählen Sie eine Aktie, einen ETF oder einen anderen Ticker zum Verlinken aus.

0/500
Richtlinien für Kommentare
Wird geladen...

Empfohlene Artikel

FOMC-Protokoll: Fed wechselt zu neutraler Abwartehaltung, einige wenige Notenbanker sehen Notwendigkeit für Zinserhöhungen, Aufwärtsrisiken bei der Inflation werden zum Kernkonflikt

Die Federal Reserve hat am 8. Juli das Protokoll ihrer FOMC-Geldpolitiksitzung vom 16. und 17. Juni veröffentlicht. Das Dokument zeigt, dass die Politik der Fed vollständig in eine neutrale, abwartende Haltung übergegangen ist, wobei die Aufwärtsrisiken für die Inflation zum zentralen Widerspruch geworden sind. Diese FOMC-Sitzung sendete ein klares Signal, dass sich die Fed vollständig von ihrer bisherigen einseitigen Tendenz zu Zinssenkungen verabschiedet hat und in eine Phase zweiseitiger, flexibler geldpolitischer Beobachtung eingetreten ist. Eine höher als erwartet ausfallende Inflationshartnäckigkeit und deren Ausweitung sind die Hauptgründe für diesen Kurswechsel, während die Robustheit des Arbeitsmarktes und des Wirtschaftswachstums Spielraum für flexible geldpolitische Anpassungen bietet. Die Notenbankvertreter bestätigten einen weiteren Anstieg der Inflation und wiesen darauf hin, dass der Druck nicht mehr nur auf exogene Faktoren wie Energie und Zölle beschränkt ist. Stattdessen haben sich die Preissteigerungen auf eine breite Palette von Kategorien wie Transport, Flugtickets und Öl ausgeweitet, während die Dienstleistungsinflation ohne Wohnungsbau fast keine Verbesserung zeigt. Kurzfristig wird mit der Erholung der Schifffahrt durch die Straße von Hormus und dem Nachlassen der marginalen Effekte von Zöllen mit einem allmählichen Rückgang der Inflation gerechnet.
tradingkey.logo
* Referenzen, Analysen und Handelsstrategien werden vom Drittanbieter Trading Central bereitgestellt, und der Standpunkt basiert auf der unabhängigen Bewertung und Beurteilung des Analysten, ohne die Anlageziele und die finanzielle Situation der Investoren zu berücksichtigen.
Risikohinweis: Unsere Website und mobile App bieten lediglich allgemeine Informationen zu bestimmten Anlageprodukten. Finsights stellt keine Finanzberatung oder Empfehlung für ein Anlageprodukt bereit, und die Bereitstellung solcher Informationen darf nicht als Finanzberatung durch Finsights ausgelegt werden.
Anlageprodukte unterliegen erheblichen Anlagerisiken, einschließlich des möglichen Verlusts des investierten Kapitals und sind möglicherweise nicht für jeden geeignet. Die vergangene Wertentwicklung von Anlageprodukten ist nicht unbedingt ein Hinweis auf deren zukünftige Wertentwicklung.
Finsights kann Drittanbietern oder Partnern erlauben, Werbung auf unserer Website oder in unserer mobilen App oder in Teilen davon zu platzieren oder bereitzustellen. Finsights kann für diese Anzeigenvergütung erhalten, basierend auf Ihrer Interaktion mit den Werbeanzeigen.
© Urheberrecht: FINSIGHTS MEDIA PTE. LTD. Alle Rechte vorbehalten.