Comprar cripto Mercados Spot FuturosGOLD Ganhe Centro de eventos

Mais

Mã độc GhostClaw nhắm vào ví tiền điện tử mã hóa trên macOS, giả dạng công cụ OpenClaw CLI trên npm và đã lây nhiễm 178 nhà phát triển trước khi bị gỡ. GhostClaMã độc GhostClaw nhắm vào ví tiền điện tử mã hóa trên macOS, giả dạng công cụ OpenClaw CLI trên npm và đã lây nhiễm 178 nhà phát triển trước khi bị gỡ. GhostCla

Malware GhostClaw đánh cắp dữ liệu ví mã hóa qua gói npm

Autor: TintucBitcoin

Fonte: TintucBitcoin

2026/03/23 09:33

Leu 3 min

1$0.000369+13.71%

Para enviar feedbacks ou expressar preocupações a respeito deste conteúdo, contate-nos em [email protected]

Mã độc GhostClaw nhắm vào ví tiền điện tử mã hóa trên macOS, giả dạng công cụ OpenClaw CLI trên npm và đã lây nhiễm 178 nhà phát triển trước khi bị gỡ.

GhostClaw tồn tại trên npm trong 1 tuần và bị gỡ ngày 10/3. Khi nạn nhân chạy lệnh npm install, một script ẩn sẽ cài đặt GhostClaw ở chế độ global, dùng tệp cấu hình làm rối để né phát hiện và bắt đầu đánh cắp dữ liệu ví.

NỘI DUNG CHÍNH

GhostClaw giả dạng OpenClaw CLI trên npm, lây 178 nhà phát triển.
Quét clipboard mỗi 3 giây để lấy khóa riêng, seed phrase, khóa công khai.
Giai đoạn 2 lấy dữ liệu ví từ Chromium, Keychain, lưu trữ hệ thống; exfil qua Telegram/GoFile/C2.

GhostClaw hoạt động như thế nào trên macOS?

GhostClaw được ngụy trang thành OpenClaw CLI tool, kích hoạt khi người dùng chạy npm install và âm thầm cài gói GhostClaw ở chế độ global.

Mã độc tồn tại trong npm registry khoảng 1 tuần, lây nhiễm 178 nhà phát triển trước khi bị gỡ ngày 10/3. Cơ chế né phát hiện dựa trên các tệp cấu hình bị làm rối (obfuscated), giúp script ẩn khó bị nhận diện trong quá trình cài đặt.

Sau khi được kích hoạt, GhostClaw tập trung vào dữ liệu liên quan ví tiền điện tử và giao dịch. Nó quét clipboard theo chu kỳ 3 giây để thu thập dữ liệu nhạy cảm có thể bị người dùng copy/paste trong quá trình quản lý ví hoặc ký giao dịch.

Dữ liệu bị nhắm đến và đường đi của dữ liệu bị đánh cắp

GhostClaw thu thập khóa riêng, mnemonic phrases, khóa công khai, cùng dữ liệu ví tiền điện tử mã hóa; sau đó tải payload giai đoạn 2 để mở rộng phạm vi đánh cắp.

Ở giai đoạn 2, GhostLoader tìm dữ liệu ví tiền điện tử mã hóa trong trình duyệt Chromium, macOS Keychain và bộ nhớ hệ thống. Nó cũng clone browser sessions để truy cập các ví đang đăng nhập, tăng khả năng chiếm quyền trong các phiên hoạt động sẵn.

Ngoài dữ liệu ví, mã độc còn đánh cắp API tokens liên kết tới các nền tảng AI như OpenAI và Anthropic. Dữ liệu bị lấy cắp được gửi ra ngoài qua Telegram, GoFile và các command servers do kẻ tấn công kiểm soát.

Oportunidade de mercado

Cotação Ucan fix life in1day (1)

$0.000369

$0.000369$0.000369

-0.40%

USD

Gráfico de preço em tempo real de Ucan fix life in1day (1)

Isenção de responsabilidade: Os artigos republicados neste site são provenientes de plataformas públicas e são fornecidos apenas para fins informativos. Eles não refletem necessariamente a opinião da MEXC. Todos os direitos permanecem com os autores originais. Se você acredita que algum conteúdo infringe direitos de terceiros, entre em contato pelo e-mail [email protected] para solicitar a remoção. A MEXC não oferece garantias quanto à precisão, integridade ou atualidade das informações e não se responsabiliza por quaisquer ações tomadas com base no conteúdo fornecido. O conteúdo não constitui aconselhamento financeiro, jurídico ou profissional, nem deve ser considerado uma recomendação ou endosso por parte da MEXC.