برنامج GhostClaw الضار يسرق بيانات المحافظ من المطورين - Coinfea

Coinfea · 2026-03-23T15:55:38+00:00

يستخدم المتسللون برنامج ضار جديد يُعرف باسم GhostClaw للاستهداف محافظ العملات المشفرة على أجهزة macOS. يقوم مثبت OpenClaw المزيف بالتقاط المفاتيح الخاصة وبيانات وصول المحفظة والبيانات الحساسة الأخرى بعد التثبيت. تم تحميل الحزمة المزيفة من قبل مستخدم يُدعى 'openclaw-ai' في 3 مارس.المحتوياتبرنامج ضار GhostClaw

Coinfea

2026-03-23 15:55:38

يستخدم القراصنة برامج ضارة جديدة تعرف باسم GhostClaw لاستهداف محافظ العملات الرقمية على أجهزة macOS. يقوم مثبت OpenClaw المزيف بسرقة المفاتيح الخاصة، والوصول إلى المحافظ، وبيانات حساسة أخرى بعد التثبيت. تم رفع الحزمة المزيفة بواسطة مستخدم يُدعى ‘openclaw-ai’ في 3 مارس.

محتويات

برنامج GhostClaw الضار يفحص الحافظة بحثًا عن بيانات العملات الرقمية
المهاجمون يضاعفون أنشطتهم في سرقة العملات الرقمية
استمر البرنامج الضار في وجوده على سجل npm لمدة أسبوع، وأصاب حوالي 178 مطورًا حتى تم إزالته في 10 مارس. وفقًا للتقارير، @openclaw-ai/openclawai تظاهر بأنه أداة CLI شرعية لـ OpenClaw، لكنه نفذ هجومًا متعدد المراحل. جمع البرنامج الضار بيانات حساسة من المطورين، بما في ذلك محافظ العملات الرقمية، كلمات مرور Keychain على macOS، بيانات اعتماد السحابة، مفاتيح SSH، وتكوينات وكلاء الذكاء الاصطناعي. البيانات المستخرجة تربط القراصنة بمنصات السحابة، قواعد الشفرات، والعملات الرقمية.

برنامج GhostClaw يفحص الحافظة بحثًا عن بيانات العملات الرقمية

وفقًا للباحثين، يراقب برنامج GhostClaw الحافظة كل ثلاث ثوانٍ لالتقاط بيانات العملات الرقمية. يشمل ذلك المفاتيح الخاصة، عبارات الاسترداد، المفاتيح العامة، وبيانات حساسة أخرى تتعلق بمحافظ العملات والمعاملات الرقمية. بمجرد أن ينفذ المطور أمر ‘npm install’، يقوم سكربت مخفي بتثبيت حزمة GhostClaw بشكل عالمي. يعمل الأداة على تشغيل ملف إعداد مشفر على أجهزة المطورين لتجنب الكشف.

ثم يظهر على الشاشة مثبت OpenClaw CLI المزيف. يطلب من الضحية إدخال كلمة مرور macOS عبر طلب من Keychain. يتحقق البرنامج الضار من كلمة المرور باستخدام أداة نظام أصلية. بعد ذلك، يقوم بتنزيل حمولة جافا سكريبت ثانية من خادم C2 بعيد. تُسمى الحمولة GhostLoader، وتعمل كأداة سرقة بيانات وأداة وصول عن بعد. تبدأ سرقة البيانات بعد تنزيل الحمولة الثانية.

يؤدي GhostLoader العمل الشاق، حيث يفحص متصفحات Chromium، وKeychain على macOS، وتخزين النظام بحثًا عن بيانات محافظ العملات الرقمية. كما يراقب الحافظة بشكل مستمر لالتقاط البيانات الحساسة. ينسخ البرنامج الضار حتى جلسات المتصفح، مما يمنح القراصنة وصولًا مباشرًا إلى المحافظ الرقمية المسجلة وخدمات أخرى ذات صلة. علاوة على ذلك، يسرق الأداة الخبيثة رموز API التي تربط المطورين بمنصات الذكاء الاصطناعي مثل OpenAI وAnthropic.

المهاجمون يضاعفون أنشطتهم في سرقة العملات الرقمية

ثم تُرسل البيانات المسروقة إلى الجهات المهددة عبر Telegram وGoFile وخوادم الأوامر. يمكن للبرنامج الضار أيضًا تنفيذ أوامر متعددة، ونشر المزيد من الحمولة، وفتح قنوات وصول عن بعد جديدة. حملة خبيثة أخرى تعتمد على ضجة OpenClaw انتشرت أيضًا على GitHub. اكتشفها باحثو الأمن السيبراني من OX Security، وتهدف إلى التواصل المباشر مع المطورين وسرقة بيانات العملات الرقمية.

يقوم المهاجمون بإنشاء مواضيع في مستودعات GitHub ووضع علامات على ضحايا محتملين، ثم يزعمون أن المطورين المختارين مؤهلون لتلقي 5000 دولار من رموز CLAW. تؤدي الرسائل بعد ذلك إلى توجيه المطورين إلى موقع مزيف يشبه تمامًا openclaw[.]ai. يرسل الموقع المزيف طلب اتصال بمحفظة العملات الرقمية، مما يبدأ إجراءات ضارة عند قبول الضحية. ربط المحفظة بالموقع قد يؤدي إلى سرقة فورية للأموال الرقمية، يحذر باحثو OX Security.

يكشف التحليل الإضافي للهجوم أن إعداد التصيد يستخدم سلسلة إعادة توجيه إلى token-claw[.]xyz وخادم أوامر على watery-compost[.]today. ثم يسرق ملف جافا سكريبت خبيث عناوين معاملات ومحافظ العملات الرقمية ويرسلها إلى القراصنة. وجدت شركة OX Security عنوان محفظة مرتبط بالجهة المهددة قد يحتوي على العملات المسروقة. يحتوي الكود الخبيث على ميزات لمراقبة تصرفات المستخدم وإزالة البيانات من التخزين المحلي، مما يصعب اكتشاف البرامج الضارة وتحليلها.

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.