برنامج GhostClaw يسرق بيانات محافظ العملات الرقمية من المطورين

يستهدف برنامج خبيث جديد يُدعى GhostClaw محافظ العملات الرقمية على أجهزة macOS. يقوم برنامج التثبيت المزيف لـ OpenClaw بالتقاط المفاتيح الخاصة، وبيانات الوصول إلى المحفظة، وغيرها من البيانات الحساسة بعد التثبيت.

تم تحميل الحزمة المزيفة بواسطة مستخدم يُدعى 'openclaw-ai' في 3 مارس. وظلت موجودة في سجل npm لمدة أسبوع وأصابت 178 مطورًا قبل إزالتها في 10 مارس.

قام حساب @openclaw-ai/openclawai بالتظاهر بأنه أداة سطر أوامر شرعية لـ OpenClaw ولكنه بدلاً من ذلك قام بتنفيذ هجوم متعدد المراحل.

جمع البرنامج الخبيث بيانات حساسة من المطورين، حيثtracمحافظ العملات الرقمية، وكلمات مرور سلسلة مفاتيح macOS، وبياناتdentالسحابة، ومفاتيح SSH، وإعدادات وكلاء الذكاء الاصطناعي. تربط هذه البياناتtracالمتسللين بمنصات السحابة وقواعد البيانات البرمجية والعملات الرقمية.

يقوم برنامج GhostClaw بفحص الحافظة بحثًا عن بيانات التشفير كل ثلاث ثوانٍ

يراقب البرنامج الخبيث الحافظة كل ثلاث ثوانٍ لالتقاط بيانات العملات المشفرة. ويشمل ذلك المفاتيح الخاصة، وعبارات الاسترداد، والمفاتيح العامة، وغيرها من البيانات الحساسة المتعلقة بمحافظ العملات المشفرة ومعاملاتها.

بمجرد أن يُشغّل المطور أمر 'npm install'، يقوم برنامج نصي مخفي بتثبيت GhostClaw على مستوى النظام. وتقوم الأداة بتشغيل ملف إعداد مُشفر على أجهزة المطورين لتجنب اكتشافها.

ثم يظهر مُثبِّت OpenClaw CLI مزيف على الشاشة، ويطلب من الضحية إدخال كلمة مرور macOS الخاصة بها عبر طلب Keychain. يتحقق البرنامج الخبيث من كلمة المرور باستخدام أداة نظام أصلية. بعد ذلك، يقوم بتنزيل حمولة JavaScript ثانية من خادم تحكم عن بُعد. تعمل هذه الحمولة، المسماة GhostLoader، كأداة لسرقة البيانات والوصول عن بُعد.

تبدأ سرقة البيانات بعد تنزيل الحمولة الثانية. يقوم برنامج GhostLoader بالعمل الشاق، حيث يفحص متصفحات Chromium، ونظام تشغيل Macintosh (macOS)، وسلسلة المفاتيح، ووحدة تخزين النظام بحثًا عن بيانات محفظة العملات الرقمية. كما يراقب الحافظة بشكل شبه مستمر لالتقاط بيانات العملات الرقمية الحساسة.

بل إنّ البرمجية الخبيثة تستنسخ جلسات المتصفح، مما يمنح المخترقين وصولاً مباشراً إلى محافظ العملات الرقمية المسجلة الدخول وغيرها من الخدمات ذات الصلة. علاوة على ذلك، تسرق هذه الأداة الخبيثة رموز واجهة برمجة التطبيقات (API) التي تربط المطورين بمنصات الذكاء الاصطناعي مثل OpenAI وAnthropic.

ثم تُرسل البيانات المسروقة إلى الجهات الخبيثة عبر تيليجرام وجو فايل وخوادم التحكم. كما يمكن للبرمجيات الخبيثة تشغيل العديد من الأوامر، ونشر المزيد من الحمولات الخبيثة، وفتح قنوات وصول عن بُعد جديدة.

تعرض مجتمع OpenClaw لعملية توزيع مجانية لرموز CLAW مزيفة

حملة خبيثة أخرى تستغل الضجة الإعلامية التي أثيرت حول برنامج OpenClaw على منصة GitHub. يهدف هذا البرنامج الخبيث، الذي اكتشفه باحثون في مجال الأمن السيبراني من شركة OX Security، إلى التواصل مباشرة مع المطورين وسرقة بيانات العملات المشفرة.

يقوم المهاجمون بإنشاء سلاسل نقاش حول المشكلات في مستودعات GitHub ويصنفون الضحايا المحتملين. ثم يدّعون زوراً أن مطورين مختارين مؤهلون لتلقي 5000 دولار أمريكي من رموز CLAW.

تُحيل هذه الرسائل المطورين المُستلمين إلى موقع ويب مُزيّف يُشبه تمامًا موقع openclaw[.]ai. يُرسل موقع التصيّد الاحتيالي طلب ربط محفظة عملات رقمية، والذي يبدأ إجراءات ضارة عند قبوله من قِبل الضحية. ويُحذّر باحثو OX Security من أن ربط المحفظة بهذا الموقع قد يؤدي إلى سرقة فورية لأموال العملات الرقمية.

يكشف تحليل إضافي للهجوم أن عملية التصيد الاحتيالي تستخدم سلسلة إعادة توجيه إلى موقع token-claw[.]xyz وخادم أوامر على موقع watery-compost[.]today. ثم يقوم ملف جافا سكريبت يحتوي على شيفرة خبيثة بسرقة عناوين محافظ العملات الرقمية ومعاملاتها وإرسالها إلى المخترق.

عثرت شركة OX Security على عنوان محفظة مرتبط بالجهة المهاجمة، يُحتمل أن يحتوي على عملات مشفرة مسروقة. يحتوي البرنامج الخبيث على خصائص لمراقبة أنشطة المستخدم وحذف البيانات من وحدة التخزين المحلية، مما يُصعّب اكتشاف البرامج الضارة وتحليلها.

من المرجح أن يركز المهاجمون على المستخدمين الذين تفاعلوا مع OpenClaw لزيادة فرصهم في سرقة العملات المشفرة.

يعتمد كلا الهجومين على الهندسة الاجتماعية كنقطة دخول إلى محافظ العملات الرقمية للضحايا. لذا، ينبغي على المستخدمين عدم ربط محافظهم الرقمية بمواقع غير معروفة، والحذر من عروض العملات الرقمية غير المرغوب فيها على منصة GitHub.