GhostClaw vole des données de portefeuilles crypto à des développeurs

Un nouveau logiciel malveillant, baptisé GhostClaw, cible les portefeuilles de cryptomonnaies sur les ordinateurs macOS. Ce faux programme d'installation d'OpenClaw capture les clés privées, l'accès au portefeuille et d'autres données sensibles après son installation.

Le faux paquet a été téléchargé par un utilisateur nommé « openclaw-ai » le 3 mars. Il est resté sur le registre npm pendant une semaine et a infecté 178 développeurs avant d'être supprimé le 10 mars.

@openclaw-ai/openclawai se faisait passer pour un outil CLI OpenClaw légitime, mais a en réalité mené une attaque en plusieurs étapes.

Le logiciel malveillant a collecté des données sensibles auprès des développeurs. Il atracdes portefeuilles de cryptomonnaies, des mots de passe du Trousseau d'dentmacOS, des identifiants cloud, des clés SSH et des configurations d'agents d'IA. Les donnéestracpermettent aux pirates d'accéder aux plateformes cloud, aux bases de code et aux systèmes de cryptomonnaies.

GhostClaw analyse le presse-papiers à la recherche de données cryptographiques toutes les trois secondes

Le logiciel malveillant surveille le presse-papiers toutes les trois secondes afin de capturer des données cryptographiques. Cela inclut les clés privées, les phrases de récupération, les clés publiques et d'autres données sensibles liées aux portefeuilles et transactions de cryptomonnaies.

Une fois la commande « npm install » exécutée par le développeur, un script caché installe le GhostClaw globalement. L'outil exécute un fichier d'installation obfusqué sur les machines des développeurs afin d'éviter toute détection.

Un faux programme d'installation OpenClaw CLI s'affiche alors à l'écran. Il invite la victime à saisir son mot de passe macOS via une requête du Trousseau d'accès. Le logiciel malveillant vérifie le mot de passe à l'aide d'un outil système natif. Ensuite, il télécharge une seconde charge utile JavaScript depuis un serveur C2 distant. Cette charge utile, appelée GhostLoader, sert à voler des données et à accéder à distance à l'utilisateur.

Le vol de données commence après le téléchargement de la deuxième charge utile. GhostLoader effectue le gros du travail. Il analyse les navigateurs Chromium, le Trousseau d'accès de macOS et le stockage système à la recherche de données de portefeuilles crypto. Il surveille également le presse-papiers en quasi-continu pour capturer les données sensibles liées aux cryptomonnaies.

Le logiciel malveillant va jusqu'à cloner les sessions de navigation. Cela permet aux pirates d'accéder directement aux portefeuilles crypto et autres services associés. De plus, cet outil malveillant dérobe les jetons d'API qui connectent les développeurs aux plateformes d'IA telles qu'OpenAI et Anthropic.

Les données volées sont ensuite envoyées aux cybercriminels via Telegram, GoFile et des serveurs de commandes. Le logiciel malveillant peut également exécuter de nombreuses commandes, déployer d'autres charges utiles et ouvrir de nouveaux canaux d'accès à distance.

La communauté OpenClaw touchée par un airdrop de faux tokens CLAW

Une autre campagne malveillante exploite la popularité d'OpenClaw sur GitHub. Ce logiciel malveillant, découvert par des chercheurs en cybersécurité d'OX Security, vise à contacter directement les développeurs pour dérober des données de chiffrement.

Les attaquants créent des sujets de discussion sur les dépôts GitHub et identifient les victimes potentielles. Ils affirment ensuite faussement que les développeurs sélectionnés peuvent recevoir 5 000 $ en jetons CLAW.

Les messages redirigent ensuite les développeurs destinataires vers un faux site web imitant parfaitement openclaw[.]ai. Ce site d'hameçonnage envoie une demande de connexion à un portefeuille de cryptomonnaies ; une fois acceptée par la victime, cette demande déclenche des actions malveillantes. Selon les chercheurs d'OX Security, lier un portefeuille à ce site peut entraîner le vol instantané de vos cryptomonnaies.

Une analyse plus approfondie de l'attaque révèle que le dispositif d'hameçonnage utilise une chaîne de redirection vers token-claw[.]xyz et un serveur de commande hébergé sur watery-compost[.]today. Un fichier JavaScript contenant du code malveillant dérobe ensuite les adresses de portefeuilles de cryptomonnaies et les transactions, puis les transmet au pirate.

OX Security a découvert une adresse de portefeuille liée à l'auteur de la menace, susceptible de contenir des cryptomonnaies volées. Le code malveillant possède des fonctionnalités permettant de surveiller les actions de l'utilisateur et de supprimer des données du stockage local, ce qui complique la détection et l'analyse du logiciel malveillant.

Les attaquants ciblent probablement les utilisateurs ayant interagi avec OpenClaw afin d'augmenter leurs chances de vol de cryptomonnaies.

Ces deux attaques exploitent l'ingénierie sociale pour accéder aux portefeuilles crypto des victimes. Il est fortement déconseillé de lier ses portefeuilles crypto à des sites inconnus et il convient d'être vigilant face aux offres de jetons non sollicitées sur GitHub.