악성 소프트웨어 GhostClaw가 npm 패키지를 통해 개발자의 암호화 지갑 데이터를 훔칩니다

Cryptopolitan에 따르면, GhostClaw라는 이름의 새로운 악성 소프트웨어가 macOS 장치의 암호화 지갑을 겨냥하고 있습니다.

이 악성 소프트웨어는 합법적인 OpenClaw CLI 도구로 가장하여 npm 레지스트리에 일주일 동안 존재하다가 178명의 개발자를 감염시킨 후 제거되었습니다. 개발자가 "npm install" 명령을 실행하면, 숨겨진 스크립트가 GhostClaw 패키지를 전역으로 설치하고 혼란스러운 설정 파일을 통해 탐지를 피합니다. GhostClaw는 3초마다 클립보드를 스캔하여 개인 키, 니모닉, 공개 키 등 암호화 지갑 및 거래 관련 데이터를 캡처합니다.

두 번째 단계의 페이로드가 다운로드된 후, GhostLoader는 Chromium 브라우저, macOS 키체인 및 시스템 저장소에서 암호화 지갑 데이터를 스캔하고, 브라우저 세션을 복제하여 로그인된 지갑에 대한 접근 권한을 얻으며, OpenAI 및 Anthropic과 같은 AI 플랫폼에 연결된 API 토큰을 훔칩니다. 훔친 데이터는 Telegram, GoFile 및 명령 서버를 통해 공격자에게 전송됩니다.