GhostClaw 的目标是开发者trac加密钱包访问权限

一种名为 GhostClaw 的新型恶意软件正在攻击 macOS 系统上的加密货币钱包。该恶意软件伪装成 OpenClaw 安装程序，安装后会窃取私钥、钱包访问权限和其他敏感数据。.

3 月 3 日，名为“openclaw-ai”的用户上传了一个虚假软件包。该软件包在 npm 注册表中停留了一周，感染了 178 位开发者，之后于 3 月 10 日被删除。.

@openclaw-ai/openclawai 伪装成合法的 OpenClaw CLI 工具，但实际上却执行了多阶段攻击。.

该恶意软件收集了开发者的敏感数据，trac加密货币钱包、macOS钥匙串密码、云dent、SSH密钥和AI代理配置。这些被trac的数据使黑客能够访问云平台、代码库和加密货币。.

GhostClaw 每三秒扫描一次剪贴板中的加密数据。

该恶意软件每三秒监控一次剪贴板，以窃取加密货币数据。这些数据包括私钥、助记词、公钥以及与加密货币钱包和交易相关的其他敏感数据。.

开发者运行“npm install”命令后，一个隐藏脚本会将GhostClaw软件包全局安装。该工具会在开发者的机器上运行一个混淆的安装文件，以避免被检测到。

屏幕上随后会出现一个伪造的 OpenClaw CLI 安装程序。它会提示受害者通过钥匙串请求输入 macOS 密码。恶意软件会使用系统自带工具验证密码。之后，它会从远程 C2 服务器下载第二个 JavaScript 有效载荷。该有效载荷名为 GhostLoader，它既是数据窃取工具，也是远程访问工具。.

数据窃取始于第二次有效载荷下载之后。GhostLoader 负责执行繁重的攻击任务。它会扫描 Chromium 浏览器、Macintosh 操作系统 (macOS) 钥匙串以及系统存储，以查找加密钱包数据。它还会几乎持续不断地监控剪贴板，以窃取敏感的加密数据。.

该恶意软件甚至可以克隆浏览器会话。这使得黑客能够直接访问已登录的加密钱包和其他相关服务。此外，该恶意工具还会窃取将开发者连接到OpenAI和 Anthropic 等人工智能平台的 API 令牌。

窃取的数据随后会通过 Telegram、GoFile 和命令服务器发送给攻击者。该恶意软件还可以执行大量命令、部署更多有效载荷并打开新的远程访问通道。.

OpenClaw社区遭遇假CLAW代币空投

另一场利用 OpenClaw 的热度在 GitHub 上传播的恶意活动也随之展开。该恶意软件由 OX Security 的网络安全研究人员发现，旨在直接联系开发者并窃取加密数据。

攻击者在 GitHub 代码仓库中创建 issue 讨论串，并标记潜在的受害者。然后，他们谎称选定的开发者有资格获得价值 5000 美元的 CLAW 代币。.

这些信息会将收件人引导至一个与 openclaw[.]ai 外观完全相同的虚假网站。该钓鱼网站会发送加密钱包连接请求，一旦受害者接受，就会启动恶意操作。OX Security 的研究人员警告说，将钱包连接到该网站会导致加密资金立即被盗。.

对此次攻击的进一步分析表明，该钓鱼攻击利用重定向链将用户重定向到 token-claw[.]xyz，并利用 watery-compost[.]today 上的命令服务器进行攻击。随后，一个包含恶意代码的 JavaScript 文件窃取加密钱包地址和交易记录，并将其发送给黑客。.

OX Security 发现了一个与攻击者关联的钱包地址，该地址可能存储着被盗的加密货币。恶意代码具备监控用户操作和从本地存储中删除数据的功能。这使得恶意软件的检测和分析更加困难。.

OpenClaw交互过的用户，以增加其窃取加密货币的机会。

这两种攻击都利用社会工程学作为入侵受害者加密钱包的入口。用户不应将加密钱包链接到未知网站，并应警惕GitHub上未经请求的代币赠送。.

如果你正在阅读这篇文章，你已经领先一步了。订阅我们的新闻简报，继续保持领先优势。