GhostClaw 的目標是開發者trac加密錢包訪問權限

一種名爲 GhostClaw 的新型惡意軟件正在攻擊 macOS 系統上的加密貨幣錢包。該惡意軟件僞裝成 OpenClaw 安裝程序，安裝後會竊取私鑰、錢包訪問權限和其他敏感數據。.

3 月 3 日，名爲“openclaw-ai”的用戶上傳了一個虛假軟件包。該軟件包在 npm 註冊表中停留了一週，感染了 178 位開發者，之後於 3 月 10 日被刪除。.

@openclaw-ai/openclawai 僞裝成合法的 OpenClaw CLI 工具，但實際上卻執行了多階段攻擊。.

該惡意軟件收集了開發者的敏感數據，trac加密貨幣錢包、macOS鑰匙串密碼、雲dent、SSH密鑰和AI代理配置。這些被trac的數據使黑客能夠訪問雲平臺、代碼庫和加密貨幣。.

GhostClaw 每三秒掃描一次剪貼板中的加密數據。

該惡意軟件每三秒監控一次剪貼板，以竊取加密貨幣數據。這些數據包括私鑰、助記詞、公鑰以及與加密貨幣錢包和交易相關的其他敏感數據。.

開發者運行“npm install”命令後，一個隱藏腳本會將GhostClaw軟件包全局安裝。該工具會在開發者的機器上運行一個混淆的安裝文件，以避免被檢測到。

屏幕上隨後會出現一個僞造的 OpenClaw CLI 安裝程序。它會提示受害者通過鑰匙串請求輸入 macOS 密碼。惡意軟件會使用系統自帶工具驗證密碼。之後，它會從遠程 C2 服務器下載第二個 JavaScript 有效載荷。該有效載荷名爲 GhostLoader，它既是數據竊取工具，也是遠程訪問工具。.

數據竊取始於第二次有效載荷下載之後。GhostLoader 負責執行繁重的攻擊任務。它會掃描 Chromium 瀏覽器、Macintosh 操作系統 (macOS) 鑰匙串以及系統存儲，以查找加密錢包數據。它還會幾乎持續不斷地監控剪貼板，以竊取敏感的加密數據。.

該惡意軟件甚至可以克隆瀏覽器會話。這使得黑客能夠直接訪問已登錄的加密錢包和其他相關服務。此外，該惡意工具還會竊取將開發者連接到OpenAI和 Anthropic 等人工智能平臺的 API 令牌。

竊取的數據隨後會通過 Telegram、GoFile 和命令服務器發送給攻擊者。該惡意軟件還可以執行大量命令、部署更多有效載荷並打開新的遠程訪問通道。.

OpenClaw社區遭遇假CLAW代幣空投

另一場利用 OpenClaw 的熱度在 GitHub 上傳播的惡意活動也隨之展開。該惡意軟件由 OX Security 的網絡安全研究人員發現，旨在直接聯繫開發者並竊取加密數據。

攻擊者在 GitHub 代碼倉庫中創建 issue 討論串，並標記潛在的受害者。然後，他們謊稱選定的開發者有資格獲得價值 5000 美元的 CLAW 代幣。.

這些信息會將收件人引導至一個與 openclaw[.]ai 外觀完全相同的虛假網站。該釣魚網站會發送加密錢包連接請求，一旦受害者接受，就會啓動惡意操作。OX Security 的研究人員警告說，將錢包連接到該網站會導致加密資金立即被盜。.

對此次攻擊的進一步分析表明，該釣魚攻擊利用重定向鏈將用戶重定向到 token-claw[.]xyz，並利用 watery-compost[.]today 上的命令服務器進行攻擊。隨後，一個包含惡意代碼的 JavaScript 文件竊取加密錢包地址和交易記錄，並將其發送給黑客。.

OX Security 發現了一個與攻擊者關聯的錢包地址，該地址可能存儲着被盜的加密貨幣。惡意代碼具備監控用戶操作和從本地存儲中刪除數據的功能。這使得惡意軟件的檢測和分析更加困難。.

OpenClaw交互過的用戶，以增加其竊取加密貨幣的機會。

這兩種攻擊都利用社會工程學作爲入侵受害者加密錢包的入口。用戶不應將加密錢包鏈接到未知網站，並應警惕GitHub上未經請求的代幣贈送。.

如果你正在閱讀這篇文章，你已經領先一步了。訂閱我們的新聞簡報，繼續保持領先優勢。