Un nuevo malware, denominado GhostClaw, ataca las carteras de criptomonedas en equipos macOS. El instalador falso de OpenClaw captura las claves privadas, el acceso a la cartera y otros datos confidenciales tras la instalación.
El paquete falso fue subido por un usuario llamado 'openclaw-ai' el 3 de marzo. Permaneció en el registro de npm durante una semana e infectó a 178 desarrolladores antes de ser eliminado el 10 de marzo.
@openclaw-ai/openclawai se hizo pasar por una herramienta de línea de comandos legítima de OpenClaw, pero en realidad ejecutó un ataque en varias etapas.
El malware recopiló datos confidenciales de los desarrolladores.tracmonederos de criptomonedas, contraseñas del llavero de macOS,denten la nube, claves SSH y configuraciones de agentes de IA. Los datostracconectan a los hackers con plataformas en la nube, bases de código y criptografía.
GhostClaw escanea el portapapeles en busca de datos criptográficos cada tres segundos
El malware monitoriza el portapapeles cada tres segundos para capturar datos criptográficos. Esto incluye claves privadas, frases semilla, claves públicas y otros datos confidenciales relacionados con monederos y transacciones de criptomonedas.
Una vez que el desarrollador ejecuta el comando 'npm install', un script oculto instala el GhostClaw globalmente. La herramienta ejecuta un archivo de configuración ofuscado en las máquinas de los desarrolladores para evitar ser detectada.
A continuación, aparece en pantalla un instalador falso de OpenClaw CLI. Este solicita a la víctima que introduzca su contraseña de macOS mediante una solicitud de Llavero. El malware verifica la contraseña utilizando una herramienta nativa del sistema. Posteriormente, descarga una segunda carga útil de JavaScript desde un servidor C2 remoto. Esta carga útil, denominada GhostLoader, actúa como herramienta de robo de datos y acceso remoto.
El robo de datos comienza tras la segunda descarga del malware. GhostLoader realiza el trabajo pesado: escanea los navegadores Chromium, el llavero del sistema operativo macOS y el almacenamiento del sistema en busca de datos de monederos de criptomonedas. Además, monitoriza el portapapeles casi continuamente para capturar datos confidenciales de criptomonedas.
El malware incluso clona las sesiones del navegador. Esto permite a los hackers acceder directamente a las carteras de criptomonedas de los usuarios y a otros servicios relacionados. Además, esta herramienta maliciosa roba tokens de API que conectan a los desarrolladores con plataformas de IA como OpenAI y Anthropic.
Los datos robados se envían a los ciberdelincuentes a través de Telegram, GoFile y servidores de comandos. El malware también puede ejecutar numerosos comandos, desplegar más cargas útiles y abrir nuevos canales de acceso remoto.
La comunidad de OpenClaw fue víctima de un airdrop de tokens CLAW falsos
Otra campaña maliciosa se aprovecha de la popularidad de OpenClaw, difundida en GitHub. Este malware, descubierto por investigadores de ciberseguridad de OX Security, tiene como objetivo contactar directamente con los desarrolladores y robar datos criptográficos.
Los atacantes crean hilos de discusión en repositorios de GitHub y etiquetan a posibles víctimas. Luego, afirman falsamente que los desarrolladores seleccionados son elegibles para recibir $5,000 en tokens CLAW.
Los mensajes redirigen a los desarrolladores a un sitio web falso idéntico a openclaw[.]ai. Este sitio web fraudulento envía una solicitud de conexión a una billetera de criptomonedas que, al ser aceptada por la víctima, inicia acciones maliciosas. Según advierten los investigadores de OX Security, vincular una billetera al sitio puede provocar el robo instantáneo de criptomonedas.
Un análisis más detallado del ataque revela que la configuración de phishing utiliza una cadena de redireccionamiento a token-claw[.]xyz y un servidor de comandos en watery-compost[.]today. Un archivo JavaScript con código malicioso roba las direcciones y transacciones de las billeteras de criptomonedas y las envía al atacante.
OX Security encontró una dirección de billetera vinculada al atacante que podría contener criptomonedas robadas. El código malicioso cuenta con funciones para monitorear las acciones del usuario y eliminar datos del almacenamiento local. Esto dificulta la detección y el análisis del malware.
Es probable que los atacantes se centren en usuarios que hayan interactuado con OpenClaw para aumentar sus posibilidades de robo de criptomonedas.
Ambos ataques se basan en la ingeniería social como vía de acceso a las carteras de criptomonedas de las víctimas. Los usuarios no deben vincular sus carteras de criptomonedas a sitios desconocidos y deben desconfiar de las ofertas de tokens no solicitadas en GitHub.
