Шкідлива програма GhostClaw крадіжка даних гаманців у розробників - Coinfea

Хакери використовують нове шкідливе програмне забезпечення під назвою GhostClaw для цілеспрямованих атак на криптогаманці на комп’ютерах macOS. Фальшивий інсталятор OpenClaw захоплює приватні ключі, доступ до гаманця та інші конфіденційні дані після встановлення. Фальшивий пакет був завантажений користувачем з ім’ям ‘openclaw-ai’ 3 березня.

Зміст Шкідливе програмне забезпечення GhostClaw сканує буфер обміну на предмет криптовалютних даних Зловмисники посилюють свої дії з крадіжки криптовалют Шкідливе ПО залишалося у реєстрі npm протягом тижня і до моменту видалення 10 березня воно інфікувало близько 178 розробників. За повідомленнями, @openclaw-ai/openclawai видавав себе за легітимний інструмент OpenClaw CLI, але насправді запускав багатоступеневу атаку. Шкідливе ПО збирало конфіденційні дані розробників. Воно витягало криптовалютні гаманці, паролі з Keychain macOS, облікові дані хмарних сервісів, SSH-ключі та налаштування AI-агентів. Витягнені дані дозволяли хакерам отримати доступ до хмарних платформ, кодових баз і криптовалют.

GhostClaw сканує буфер обміну для криптовалютних даних

За словами дослідників, шкідливе програмне забезпечення GhostClaw моніторить буфер обміну кожні три секунди, щоб захопити криптовалютні дані. Це включає приватні ключі, фрази для відновлення, публічні ключі та інші конфіденційні дані, пов’язані з гаманцями та транзакціями. Як тільки розробник виконує команду ‘npm install’, прихований скрипт встановлює пакет GhostClaw глобально. Інструмент запускає заплутаний файл налаштувань на машинах розробників, щоб уникнути виявлення.

Після цього з’являється фальшивий інсталятор OpenClaw CLI. Він запитує у жертви пароль від macOS через запит у Keychain. Шкідливе ПО перевіряє пароль за допомогою системного інструменту. Потім воно завантажує другий JavaScript-скрипт з віддаленого C2-сервера. Цей скрипт, під назвою GhostLoader, виконує функції крадіжки даних і віддаленого доступу. Крадіжка даних починається після завантаження другого скрипта.

GhostLoader виконує основну роботу. Він сканує браузери Chromium, Keychain macOS і системне сховище для даних криптовалютних гаманців. Також він майже безперервно моніторить буфер обміну для захоплення конфіденційних криптовалютних даних. Шкідливе ПО навіть клонують сесії браузерів, що дає хакерам прямий доступ до авторизованих криптовалютних гаманців та інших сервісів. Більше того, зловмисний інструмент краде API-токени, що з’єднують розробників з платформами AI, такими як OpenAI і Anthropic.

Зловмисники посилюють свої дії з крадіжки криптовалют

Вкрадені дані потім передаються зловмисникам через Telegram, GoFile і командні сервери. Шкідливе ПО також може виконувати численні команди, розгортати додаткові скрипти та відкривати нові канали віддаленого доступу. Ще одна зловмисна кампанія, яка використовує популярність OpenClaw, поширювалася на GitHub. Виявлена дослідниками з OX Security, вона має на меті безпосередньо контактувати з розробниками і красти криптовалютні дані.

Зловмисники створюють теми у репозиторіях GitHub і тегують потенційних жертв. Потім вони неправдиво стверджують, що обрані розробники мають право отримати $5000 у токенах CLAW. Повідомлення ведуть жертву на фальшивий сайт, який точно імітує openclaw[.]ai. Фішинговий сайт надсилає запит на підключення криптовалютного гаманця, що запускає шкідливі дії при його прийнятті. Підключення гаманця до сайту може призвести до миттєвої крадіжки криптовалютних коштів, попереджають дослідники OX Security.

Подальший аналіз атаки показує, що фішинговий сценарій використовує ланцюжок перенаправлень до token-claw[.]xyz і командного сервера на watery-compost[.]today. JavaScript-файл із шкідливим кодом краде адреси криптовалютних гаманців і транзакції, відправляючи їх хакеру. OX Security виявила адресу гаманця, пов’язану із зловмисником, яка може містити викрадену криптовалюту. Шкідливий код має функції моніторингу дій користувача і видалення даних із локального сховища, що ускладнює виявлення та аналіз шкідливого ПО.