悪意のあるソフトウェア GhostClaw が npm パッケージを通じて開発者の暗号ウォレットデータを盗み取る

Cryptopolitan の報道によると、GhostClaw という名前の新しいマルウェアが macOS デバイス上の暗号財布を標的にしています。

このマルウェアは、合法的な OpenClaw CLI ツールに偽装しており、npm レジストリに一週間存在した後、178 人の開発者を感染させた後に削除されました。開発者が "npm install" コマンドを実行すると、隠されたスクリプトがグローバルに GhostClaw パッケージをインストールし、難読化された設定ファイルを通じて検出を回避します。GhostClaw は 3 秒ごとにクリップボードをスキャンし、秘密鍵、リカバリーフレーズ、公開鍵などの暗号財布や取引に関連するデータをキャプチャします。

第2段階のペイロードがダウンロードされた後、GhostLoader は Chromium ブラウザ、macOS キーチェーン、およびシステムストレージ内の暗号財布データをスキャンし、ブラウザセッションをクローンしてログイン済みの財布へのアクセスを取得し、OpenAI や Anthropic などの AI プラットフォームに接続する API トークンを盗みます。盗まれたデータは Telegram、GoFile、およびコマンドサーバーを通じて攻撃者に送信されます。