มัลแวร์ GhostClaw ขโมยข้อมูลกระเป๋าเงินที่เข้ารหัสของนักพัฒนาผ่านแพ็กเกจ npm

PANews รายงานเมื่อวันที่ 23 มีนาคม ตาม Cryptopolitan มีมัลแวร์ตัวใหม่ชื่อ GhostClaw กำลังกำหนดเป้าหมายไปที่กระเป๋าเข้ารหัสบนอุปกรณ์ macOS มัลแวร์ตัวนี้ปลอมตัวเป็นเครื่องมือ OpenClaw CLI ที่ถูกต้องตามกฎหมาย มีอยู่ใน npm registry เป็นเวลาหนึ่งสัปดาห์ ติดเชื้อนักพัฒนา 178 คน ก่อนที่จะถูกลบออกเมื่อวันที่ 10 มีนาคม เมื่อนักพัฒนารันคำสั่ง "npm install" สคริปต์ที่ซ่อนอยู่จะติดตั้งแพ็คเกจ GhostClaw แบบ global หลีกเลี่ยงการตรวจจับผ่านไฟล์กำหนดค่าที่ถูกปิดบัง

GhostClaw สแกนคลิปบอร์ดทุกสามวินาที จับข้อมูลกระเป๋าเข้ารหัสและข้อมูลที่เกี่ยวข้องกับธุรกรรม เช่น คีย์ส่วนตัว วลีช่วยจำ และคีย์สาธารณะ หลังจากดาวน์โหลด payload ในขั้นตอนที่สอง GhostLoader จะสแกนข้อมูลกระเป๋าเข้ารหัสในเบราว์เซอร์ Chromium, macOS Keychain และที่เก็บข้อมูลของระบบ โคลนเซสชันเบราว์เซอร์เพื่อเข้าถึงกระเป๋าที่เข้าสู่ระบบ และขโมยโทเค็น API ที่เชื่อมต่อกับแพลตฟอร์ม AI เช่น OpenAI และ Anthropic ข้อมูลที่ถูกขโมยจะถูกส่งไปยังผู้โจมตีผ่าน Telegram, GoFile และเซิร์ฟเวอร์คำสั่ง