Um novo malware chamado GhostClaw está visando carteiras de criptomoedas em máquinas macOS. O falso instalador OpenClaw captura chaves privadas, acesso à carteira e outros dados confidenciais após a instalação.
O pacote falso foi carregado por um usuário chamado 'openclaw-ai' em 3 de março. Ele permaneceu no registro do npm por uma semana e infectou 178 desenvolvedores antes de ser removido em 10 de março.
@openclaw-ai/openclawai se fez passar por uma ferramenta legítima da linha de comando do OpenClaw, mas, em vez disso, executou um ataque em várias etapas.
O malware coletou dados sensíveis de desenvolvedores. Eletraccarteiras de criptomoedas, senhas do Keychain do macOS,dentde nuvem, chaves SSH e configurações de agentes de IA. Os dadostracconectam os hackers a plataformas de nuvem, bases de código e criptomoedas.
O GhostClaw verifica a área de transferência em busca de dados criptográficos a cada três segundos
O malware monitora a área de transferência a cada três segundos para capturar dados criptográficos. Isso inclui chaves privadas, frases-semente, chaves públicas e outros dados sensíveis relacionados a carteiras e transações de criptomoedas.
Assim que o desenvolvedor executa o comando 'npm install', um script oculto instala o GhostClaw globalmente. A ferramenta executa um arquivo de instalação ofuscado nas máquinas dos desenvolvedores para evitar a detecção.
Em seguida, um instalador falso do OpenClaw CLI aparece na tela. Ele solicita que a vítima insira sua senha do macOS por meio de uma requisição ao Keychain. O malware verifica a senha usando uma ferramenta nativa do sistema. Depois disso, ele baixa um segundo payload JavaScript de um servidor C2 remoto. O payload, chamado GhostLoader, funciona como uma ferramenta de roubo de dados e acesso remoto.
O roubo de dados começa após o segundo download do payload. O GhostLoader faz o trabalho pesado. Ele escaneia navegadores Chromium, o Keychain do sistema operacional Macintosh (macOS) e o armazenamento do sistema em busca de dados de carteiras de criptomoedas. Ele também monitora a área de transferência quase continuamente para capturar dados criptográficos sensíveis.
O malware chega a clonar sessões de navegador. Isso dá aos hackers acesso direto a carteiras de criptomoedas e outros serviços relacionados. Além disso, a ferramenta maliciosa rouba tokens de API que conectam desenvolvedores a plataformas de IA como OpenAI e Anthropic.
Os dados roubados são então enviados aos agentes maliciosos via Telegram, GoFile e servidores de comando. O malware também pode executar diversos comandos, implantar mais cargas úteis e abrir novos canais de acesso remoto.
Comunidade OpenClaw atacada com airdrop falso de tokens CLAW
Outra campanha maliciosa que se aproveita da popularidade do OpenClaw disseminada no GitHub. O malware, descoberto por pesquisadores de segurança cibernética da OX Security, tem como objetivo contatar desenvolvedores diretamente e roubar dados criptográficos.
Os atacantes criam tópicos de discussão em repositórios do GitHub e marcam potenciais vítimas. Em seguida, afirmam falsamente que os desenvolvedores selecionados são elegíveis para receber US$ 5.000 em tokens CLAW.
As mensagens então levam os desenvolvedores destinatários a um site falso que se parece exatamente com openclaw[.]ai. O site de phishing envia uma solicitação de conexão de carteira de criptomoedas que inicia ações maliciosas quando aceita pela vítima. Vincular uma carteira ao site pode levar ao roubo instantâneo de fundos em criptomoedas, alertam os pesquisadores da OX Security.
Uma análise mais aprofundada do ataque revela que a configuração de phishing utiliza uma cadeia de redirecionamento para token-claw[.]xyz e um servidor de comandos em watery-compost[.]today. Um arquivo JavaScript com código malicioso rouba então endereços de carteiras de criptomoedas e transações, enviando-os para o hacker.
A OX Security encontrou um endereço de carteira vinculado ao agente da ameaça, que pode conter criptomoedas roubadas. O código malicioso possui recursos para monitorar as ações do usuário e remover dados do armazenamento local. Isso dificulta a detecção e a análise do malware.
Os atacantes provavelmente se concentram em usuários que interagiram com OpenClaw para aumentar suas chances de roubo de criptomoedas.
Ambos os ataques se baseiam em engenharia social como ponto de entrada para as carteiras de criptomoedas das vítimas. Os usuários não devem vincular suas carteiras de criptomoedas a sites desconhecidos e devem desconfiar de ofertas de tokens não solicitadas no GitHub.
