GhostClawと呼ばれる新たなマルウェアが、macOSマシン上の暗号通貨ウォレットを標的にしている。偽のOpenClawインストーラーは、インストール後に秘密鍵、ウォレットへのアクセス権限、その他の機密データを盗み出す。.
偽のパッケージは3月3日に「openclaw-ai」というユーザーによってアップロードされた。それは1週間npmレジストリ上に残り、3月10日に削除されるまでに178人の開発者を感染させた。.
@openclaw-ai/openclawai は、正規の OpenClaw CLI ツールを装っていましたが、実際には多段階攻撃を実行していました。.
このマルウェアは開発者から機密データを収集しました。暗号通貨ウォレット、macOSキーチェーンのパスワード、クラウドdent情報、SSHキー、AIエージェントの設定などが抽出さtracました。tracたデータは、ハッカーがクラウドプラットフォーム、コードベース、暗号通貨にアクセスするために利用されます。.
GhostClawは3秒ごとにクリップボードをスキャンして暗号データを探します。
このマルウェアは、3秒ごとにクリップボードを監視し、暗号データを盗み取ります。盗み取られるデータには、秘密鍵、シードフレーズ、公開鍵、および暗号ウォレットや取引に関連するその他の機密データが含まれます。.
開発者が「npm install」コマンドを実行すると、隠されたスクリプトによってGhostClawパッケージがグローバルにインストールされます。このツールは、検出を回避するために、開発者のマシン上で難読化されたセットアップファイルを実行します。
すると、偽のOpenClaw CLIインストーラーが画面に表示されます。これは、キーチェーンリクエストを通じてmacOSのパスワードを入力するように被害者に促します。マルウェアはネイティブシステムツールを使用してパスワードを検証します。その後、リモートC2サーバーから2つ目のJavaScriptペイロードをダウンロードします。GhostLoaderと呼ばれるこのペイロードは、データ窃盗ツールおよびリモートアクセスツールとして機能します。.
データ窃盗は、2回目のペイロードダウンロード後に開始されます。GhostLoaderが主要な処理を担当します。Chromiumブラウザ、Macintoshオペレーティングシステム(macOS)のキーチェーン、システムストレージをスキャンして、暗号通貨ウォレットのデータを探します。また、クリップボードをほぼ常時監視し、機密性の高い暗号通貨データをキャプチャします。.
このマルウェアはブラウザセッションを複製する機能も備えています。これにより、ハッカーはログイン済みの暗号通貨ウォレットやその他の関連サービスに直接アクセスできるようになります。さらに、この悪意のあるツールは、開発者がOpenAIやAnthropicなどのAIプラットフォームに接続するためのAPIトークンを盗み出します。
盗まれたデータは、Telegram、GoFile、コマンドサーバーなどを介して攻撃者に送信されます。このマルウェアは、多数のコマンドを実行したり、ペイロードを追加で展開したり、新たなリモートアクセスチャネルを開いたりすることも可能です。.
OpenClawコミュニティが偽のCLAWトークンのエアドロップに見舞われる
OpenClawの誇大宣伝を利用した、GitHub上で拡散された別の悪質なキャンペーン。OX Securityのサイバーセキュリティ研究者によって発見されたこのマルウェアは、開発者に直接接触し、暗号データを盗み出すことを目的としている。
攻撃者はGitHubリポジトリにイシュースレッドを作成し、潜在的な被害者をタグ付けします。そして、選ばれた開発者が5,000ドル相当のCLAWトークンを受け取る資格があると偽って主張します。.
これらのメッセージは、受信者の開発者をopenclaw[.]aiとそっくりな偽のウェブサイトに誘導します。フィッシングサイトは暗号通貨ウォレットへの接続要求を送信し、被害者がこれを受け入れると有害な動作が開始されます。OX Securityの研究者は、ウォレットをこのサイトにリンクすると、暗号通貨資金が即座に盗まれる可能性があると警告しています。.
攻撃のさらなる分析により、フィッシングの仕掛けはtoken-claw[.]xyzへのリダイレクトチェーンとwatery-compost[.]todayにあるコマンドサーバーを使用していることが明らかになった。その後、悪意のあるコードを含むJavaScriptファイルが暗号通貨ウォレットのアドレスとトランザクションを盗み出し、ハッカーに送信する。.
OX Securityは、攻撃者に関連付けられたウォレットアドレスを発見しました。このアドレスには盗まれた暗号資産が保管されている可能性があります。悪意のあるコードには、ユーザーの行動を監視し、ローカルストレージからデータを削除する機能が備わっています。これにより、マルウェアの検出と分析が困難になります。.
、暗号資産の窃盗機会を増やすため、 OpenClawを利用したことのあるユーザーを標的にしている可能性が高い
どちらの攻撃も、被害者の暗号資産ウォレットへの侵入手段としてソーシャルエンジニアリングを利用しています。ユーザーは、暗号資産ウォレットを未知のサイトにリンクさせないようにし、GitHub上での不審なトークン提供には注意する必要があります。.
