恶意软件 GhostClaw 通过 npm 包窃取开发者加密钱包数据

ChainCatcher 消息，据 Cryptopolitan 报道，一款名为 GhostClaw 的新型恶意软件正在针对 macOS 设备上的加密钱包。

该恶意软件通过伪装成合法的 OpenClaw CLI 工具，在 npm 注册表中存在一周时间，感染了 178 名开发者后被移除。一旦开发者运行 “npm install” 命令，隐藏脚本会全局安装 GhostClaw 包，并通过混淆的设置文件逃避检测。GhostClaw 每三秒扫描一次剪贴板，捕获私钥、助记词、公钥等加密钱包和交易相关数据。

在第二阶段的载荷下载后，GhostLoader 会扫描 Chromium 浏览器、macOS 钥匙串和系统存储中的加密钱包数据，克隆浏览器会话以获取已登录钱包的访问权限，并窃取连接 AI 平台（如 OpenAI 和 Anthropic）的 API Token。窃取的数据通过 Telegram、GoFile 和命令服务器发送给攻击者。