惡意軟體GhostClaw通過npm包竊取開發者加密錢包數據

惡意軟體背景與偽裝手法

一款名為@openclaw-ai/openclawai的惡意npm包，偽裝成合法的OpenClaw CLI工具，在開發者設備上悄悄部署功能完整的信息竊取程序與遠端控制木馬（RAT）。

該惡意軟體利用社會工程學偽造系統提示以竊取管理員密碼，並部署GhostLoader來竊取系統憑證、雲端密鑰、加密錢包及瀏覽器數據等敏感資訊。

它能夠竊取macOS Keychain、所有Chromium瀏覽器的登錄資訊、加密貨幣錢包種子、SSH密鑰，甚至AWS、Azure、GCP的雲端憑證。

當開發者執行安裝命令後，該包會透過postinstall鉤子靜默全局重裝自身，確保惡意二進制文件進入系統，並持續運行。

在第二階段載荷下載後，GhostLoader會掃描Chromium瀏覽器、macOS鑰匙串和系統儲存中的加密錢包數據，克隆瀏覽器會話以取得已登錄錢包的訪問權限，並竊取連接AI平臺（如OpenAI和Anthropic）的API Token。

竊取的數據會透過Telegram、GoFile和命令伺服器傳送給攻擊者，實現遠端控制與資產獲取。