一种名为GhostClaw的新型恶意软件正在针对macOS设备上的加密货币钱包发起攻击。这款假冒的OpenClaw安装程序在安装后会捕获私钥、钱包访问权限和其他敏感数据。
这款假冒软件包由名为’openclaw-ai’的用户于3月3日上传。它在npm注册表中停留了一周,在3月10日被删除前感染了178名开发者。@openclaw-ai/openclawai伪装成合法的OpenClaw CLI工具,但实际上运行了一个多阶段攻击。
该恶意软件从开发者那里收集敏感数据。它提取了加密货币钱包、macOS钥匙串密码、云凭证、SSH密钥和AI代理配置。提取的数据将黑客连接到云平台、代码库和加密货币。
GhostClaw每三秒扫描剪贴板获取加密数据
该恶意软件每三秒监控一次剪贴板以捕获加密数据。这包括私钥、助记词、公钥以及与加密货币钱包和交易相关的其他敏感数据。
一旦开发者运行’npm install’命令,一个隐藏脚本就会全局安装GhostClaw软件包。该工具在开发者的机器上运行一个混淆的设置文件以避免检测。
然后屏幕上会出现一个假冒的OpenClaw CLI安装程序。它会提示受害者通过钥匙串请求输入macOS密码。恶意软件使用原生系统工具验证密码。之后,它会从远程C2服务器下载第二个JavaScript有效负载。
这个名为GhostLoader的有效负载充当数据窃取器和远程访问工具。数据窃取在第二个有效负载下载后开始。GhostLoader负责繁重的工作。它扫描Chromium浏览器、Macintosh操作系统(macOS)钥匙串和系统存储以获取加密货币钱包数据。它几乎持续监控剪贴板以捕获敏感的加密数据。
该恶意软件甚至会克隆浏览器会话。这使黑客能够直接访问已登录的加密货币钱包和其他相关服务。此外,这个恶意工具会窃取连接开发者到OpenAI和Anthropic等AI平台的API令牌。
然后,被盗数据通过Telegram、GoFile和命令服务器发送给威胁行为者。该恶意软件还可以运行大量命令、部署更多有效负载并打开新的远程访问通道。
OpenClaw社区遭遇假冒CLAW代币空投攻击
另一个依赖OpenClaw热度的恶意活动在GitHub上传播。这款由OX Security网络安全研究人员发现的恶意软件旨在直接联系开发者并窃取加密数据。
攻击者在GitHub存储库中创建问题线程并标记潜在受害者。然后他们错误地声称选定的开发者有资格获得价值5,000美元的CLAW代币。这些消息随后引导接收者开发者访问一个看起来与openclaw[.]ai完全相同的假冒网站。
这个钓鱼网站会发送一个加密货币钱包连接请求,当受害者接受时就会启动有害操作。OX Security研究人员警告说,将钱包连接到该网站可能导致加密货币资金立即被盗。
对攻击的进一步分析显示,钓鱼设置使用重定向链到token-claw[.]xyz和一个位于watery-compost[.]today的命令服务器。然后,一个包含恶意代码的JavaScript文件窃取加密货币钱包地址和交易并将其发送给黑客。
OX Security发现了一个与威胁行为者相关的钱包地址,可能持有被盗的加密货币。恶意代码具有监控用户操作和从本地存储中删除数据的功能。这使得恶意软件检测和分析更加困难。
攻击者可能专注于与OpenClaw相关存储库交互过的用户,以增加他们窃取加密货币的机会。这两种攻击都依赖社会工程学作为进入受害者加密货币钱包的切入点。
用户不应将加密货币钱包连接到未知网站,并应警惕GitHub上未经请求的代币优惠。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/03/23/ghostclaw%e6%81%b6%e6%84%8f%e8%bd%af%e4%bb%b6%e7%9e%84%e5%87%86%e5%bc%80%e5%8f%91%e8%80%85%ef%bc%8c%e7%aa%83%e5%8f%96%e5%8a%a0%e5%af%86%e8%b4%a7%e5%b8%81%e9%92%b1%e5%8c%85%e8%ae%bf%e9%97%ae%e6%9d%83/
