GhostClaw라는 새로운 악성 프로그램이 macOS 기기의 암호화폐 지갑을 표적으로 삼고 있습니다. 이 가짜 OpenClaw 설치 프로그램은 설치 후 개인 키, 지갑 접근 권한 및 기타 민감한 데이터를 탈취합니다.
가짜 패키지는 'openclaw-ai'라는 사용자가 3월 3일에 업로드했습니다. 이 패키지는 npm 레지스트리에 일주일 동안 남아 있었고 3월 10일에 삭제되기 전까지 178명의 개발자를 감염시켰습니다.
@openclaw-ai/openclawai는 합법적인 OpenClaw CLI 도구인 것처럼 가장했지만, 실제로는 여러 단계에 걸친 공격을 실행했습니다.
해당 악성코드는 개발자로부터 민감한 데이터를 수집했습니다. 암호화폐 지갑, macOS 키체인 암호, 클라우드dent증명, SSH 키 및 AI 에이전트 구성 파일을trac했습니다.trac된 데이터는 해커가 클라우드 플랫폼, 코드베이스 및 암호화폐에 접근할 수 있도록 해줍니다.
GhostClaw는 3초마다 클립보드를 스캔하여 암호화 데이터를 확인합니다
해당 악성 프로그램은 3초마다 클립보드를 모니터링하여 암호화 데이터를 캡처합니다. 여기에는 개인 키, 시드 구문, 공개 키 및 암호화폐 지갑과 거래와 관련된 기타 민감한 데이터가 포함됩니다.
개발자가 'npm install' 명령을 실행하면 숨겨진 스크립트가 GhostClaw 패키지를 전역적으로 설치합니다. 이 도구는 탐지를 피하기 위해 개발자 컴퓨터에서 난독화된 설치 파일을 실행합니다.
그러면 가짜 OpenClaw CLI 설치 프로그램이 화면에 나타납니다. 이 프로그램은 키체인 요청을 통해 피해자에게 macOS 암호를 입력하라고 요구합니다. 악성 프로그램은 시스템 기본 도구를 사용하여 암호를 확인합니다. 그 후 원격 C2 서버에서 두 번째 JavaScript 페이로드를 다운로드합니다. GhostLoader라고 불리는 이 페이로드는 데이터 탈취 및 원격 액세스 도구 역할을 합니다.
데이터 탈취는 두 번째 페이로드 다운로드 이후 시작됩니다. GhostLoader가 핵심적인 역할을 수행합니다. 크롬 브라우저, 맥 운영체제(macOS) 키체인, 시스템 저장소에서 암호화폐 지갑 데이터를 스캔합니다. 또한 민감한 암호화폐 데이터를 캡처하기 위해 클립보드를 거의 지속적으로 모니터링합니다.
해당 악성 프로그램은 브라우저 세션을 복제하기도 합니다. 이를 통해 해커는 로그인된 암호화폐 지갑 및 기타 관련 서비스에 직접 접근할 수 있습니다. 또한, 이 악성 도구는 개발자들이 OpenAI 및 Anthropic과 같은 AI 플랫폼에 접속하는 데 필요한 API 토큰을 탈취합니다.
탈취된 데이터는 텔레그램, GoFile 및 명령 서버를 통해 공격자에게 전송됩니다. 또한 이 악성 프로그램은 다양한 명령을 실행하고, 추가 페이로드를 배포하며, 새로운 원격 접속 채널을 개설할 수 있습니다.
OpenClaw 커뮤니티, 가짜 CLAW 토큰 에어드롭 공격 받아
OpenClaw에 대한 과장된 홍보를 악용한 또 다른 악성 캠페인이 GitHub에서 확산되고 있습니다. OX Security의 사이버 보안 연구원들이 발견한 멀웨어는
공격자들은 GitHub 저장소에 이슈 스레드를 생성하고 잠재적 피해자를 태그합니다. 그런 다음 선택된 개발자들이 5,000달러 상당의 CLAW 토큰을 받을 자격이 있다고 거짓으로 주장합니다.
해당 메시지를 수신한 개발자는 openclaw[.]ai와 똑같이 생긴 가짜 웹사이트로 연결됩니다. 이 피싱 웹사이트는 암호화폐 지갑 연결 요청을 보내며, 피해자가 이를 수락하면 악성 행위가 시작됩니다. OX Security 연구원들은 지갑을 해당 사이트에 연결하면 암호화폐 자금이 즉시 도난당할 수 있다고 경고합니다.
공격에 대한 추가 분석 결과, 피싱 공격은 token-claw[.]xyz로 리디렉션되는 경로와 watery-compost[.]today에 있는 명령 서버를 사용하는 것으로 나타났습니다. 악성 코드가 포함된 JavaScript 파일은 암호화폐 지갑 주소와 거래 내역을 탈취하여 해커에게 전송합니다.
OX Security는 공격자와 연관된 지갑 주소를 발견했는데, 이 주소에는 도난당한 암호화폐가 보관되어 있을 가능성이 있습니다. 악성 코드는 사용자 활동을 모니터링하고 로컬 저장소에서 데이터를 삭제하는 기능을 포함하고 있어 악성 코드 탐지 및 분석을 더욱 어렵게 만듭니다.
공격자들은 암호화폐 탈취 가능성을 높이기 위해 OpenClaw
두 공격 모두 소셜 엔지니어링을 통해 피해자의 암호화폐 지갑에 접근합니다. 사용자는 암호화폐 지갑을 알 수 없는 사이트에 연결해서는 안 되며, GitHub에서 원치 않는 토큰 제공 제안에 주의해야 합니다.
