惡意軟體 GhostClaw 透過 npm 套件竊取開發者加密錢包資料

ChainCatcher 消息，据 Cryptopolitan 報導，一款名為 GhostClaw 的新型惡意軟體正在針對 macOS 設備上的加密錢包。

該惡意軟體通過偽裝成合法的 OpenClaw CLI 工具，在 npm 註冊表中存在了一週時間，感染了 178 名開發者後被移除。一旦開發者運行 "npm install" 命令，隱藏腳本會全局安裝 GhostClaw 包，並通過混淆的設置文件逃避檢測。GhostClaw 每三秒掃描一次剪貼板，捕獲私鑰、助記詞、公鑰等加密錢包和交易相關數據。

在第二階段的載荷下載後，GhostLoader 會掃描 Chromium 瀏覽器、macOS 鑰匙串和系統存儲中的加密錢包數據，克隆瀏覽器會話以獲取已登錄錢包的訪問權限，並竊取連接 AI 平台（如 OpenAI 和 Anthropic）的 API Token。竊取的數據通過 Telegram、GoFile 和命令伺服器發送給攻擊者。