Вредоносная программа GhostClaw крадёт зашифрованные данные кошельков разработчиков через npm-пакет.

PANews сообщило 23 марта, что, согласно Cryptopolitan, новое вредоносное ПО под названием GhostClaw нацелено на криптовалютные кошельки на устройствах macOS. Это вредоносное ПО, замаскированное под легитимный инструмент OpenClaw CLI, существовало в реестре npm в течение недели, заразив 178 разработчиков, прежде чем было удалено 10 марта. После того как разработчик выполняет команду "npm install", скрытый скрипт глобально устанавливает пакет GhostClaw, избегая обнаружения с помощью обфусцированных конфигурационных файлов.

GhostClaw сканирует буфер обмена каждые три секунды, захватывая данные криптовалютных кошельков и связанные с транзакциями данные, такие как приватные ключи, мнемонические фразы и публичные ключи. После загрузки полезной нагрузки на второй фазе GhostLoader сканирует данные криптовалютных кошельков в браузере Chromium, macOS Keychain и системном хранилище, клонирует браузерные сессии для получения доступа к залогиненным кошелькам и крадет API токены, подключенные к AI-платформам, таким как OpenAI и Anthropic. Украденные данные отправляются злоумышленникам через Telegram, GoFile и командные серверы.