Новая вредоносная программа под названием GhostClaw нацелена на криптокошельки на компьютерах macOS. Поддельный установщик OpenClaw после установки перехватывает закрытые ключи, доступ к кошелькам и другие конфиденциальные данные.
Поддельный пакет был загружен пользователем под ником 'openclaw-ai' 3 марта. Он оставался в реестре npm в течение недели и заразил 178 разработчиков, прежде чем был удален 10 марта.
@openclaw-ai/openclawai выдавал себя за легитимный инструмент командной строки OpenClaw, но вместо этого осуществил многоэтапную атаку.
Вредоносная программа собирала конфиденциальные данные разработчиков. Онаtracданные из криптокошельков, пароли от Keychain в macOS, учетные данные облачныхdent, SSH-ключи и конфигурации агентов ИИ.tracданные позволяют хакерам получить доступ к облачным платформам, кодовым базам и криптовалютам.
GhostClaw сканирует буфер обмена на наличие криптографических данных каждые три секунды
Вредоносная программа отслеживает содержимое буфера обмена каждые три секунды для перехвата криптографических данных. Это включает в себя закрытые ключи, сид-фразы, открытые ключи и другие конфиденциальные данные, связанные с криптокошельками и транзакциями.
После того как разработчик выполнит команду 'npm install', скрытый скрипт установит GhostClaw глобально. Инструмент запускает обфусцированный файл установки на машинах разработчиков, чтобы избежать обнаружения.
Затем на экране появляется поддельный установщик OpenClaw CLI. Он запрашивает у жертвы пароль от macOS через Keychain. Вредоносная программа проверяет пароль с помощью встроенного системного инструмента. После этого она загружает вторую полезную нагрузку на JavaScript с удаленного C2-сервера. Эта полезная нагрузка, называемая GhostLoader, действует как инструмент для кражи данных и удаленного доступа.
Кража данных начинается после второй загрузки вредоносного ПО. GhostLoader выполняет основную работу. Он сканирует браузеры Chromium, связку ключей операционной системы Mac OS и системное хранилище на предмет данных криптокошелька. Он также практически непрерывно отслеживает буфер обмена для перехвата конфиденциальных криптографических данных.
Вредоносная программа даже клонирует сессии браузера. Это дает хакерам прямой доступ к авторизованным криптокошелькам и другим связанным сервисам. Более того, вредоносный инструмент крадет токены API, которые связывают разработчиков с платформами искусственного интеллекта, такими как OpenAI и Anthropic.
Украденные данные затем передаются злоумышленникам через Telegram, GoFile и командные серверы. Вредоносное ПО также может выполнять множество команд, развертывать дополнительные полезные нагрузки и открывать новые каналы удаленного доступа.
Сообщество OpenClaw пострадало от фальшивого аирдропа токенов CLAW
Еще одна вредоносная кампания, использующая ажиотаж вокруг OpenClaw, распространяемый на GitHub. Вредоносное ПО, обнаруженное исследователями кибербезопасности из OX Security, нацелено на прямое взаимодействие с разработчиками и кражу криптографических данных.
Злоумышленники создают темы обсуждений в репозиториях GitHub и помечают потенциальных жертв. Затем они ложно заявляют, что выбранные разработчики имеют право получить 5000 долларов в токенах CLAW.
Затем сообщения направляют разработчиков-получателей на поддельный веб-сайт, который выглядит в точности как openclaw[.]ai. Фишинговый сайт отправляет запрос на подключение криптокошелька, который запускает вредоносные действия после принятия жертвой. Привязка кошелька к сайту может привести к мгновенной краже криптовалютных средств, предупреждают исследователи OX Security.
Дальнейший анализ атаки показывает, что фишинговая схема использует цепочку перенаправлений на token-claw[.]xyz и командный сервер по адресу watery-compost[.]today. Затем JavaScript-файл со вредоносным кодом крадет адреса криптокошельков и транзакции и отправляет их хакеру.
Компания OX Security обнаружила адрес кошелька, связанный с злоумышленником, который, возможно, хранит украденную криптовалюту. Вредоносный код имеет функции отслеживания действий пользователя и удаления данных из локального хранилища. Это затрудняет обнаружение и анализ вредоносного ПО.
Злоумышленники, скорее всего, сосредотачиваются на пользователях, которые взаимодействовали с OpenClaw , чтобы увеличить свои шансы на кражу криптовалюты.
Обе атаки используют социальную инженерию в качестве точки входа в криптовалютные кошельки жертв. Пользователям не следует привязывать криптовалютные кошельки к неизвестным сайтам и следует с осторожностью относиться к нежелательным предложениям токенов на GitHub.
