Un nuovo malware, denominato GhostClaw, prende di mira i portafogli di criptovalute sui computer macOS. Il finto programma di installazione di OpenClaw, dopo l'installazione, cattura le chiavi private, l'accesso al portafoglio e altri dati sensibili.
Il pacchetto fasullo è stato caricato da un utente di nome 'openclaw-ai' il 3 marzo. È rimasto nel registro npm per una settimana e ha infettato 178 sviluppatori prima di essere rimosso il 10 marzo.
@openclaw-ai/openclawai si è spacciato per un legittimo strumento da riga di comando di OpenClaw, ma in realtà ha eseguito un attacco a più fasi.
Il malware ha raccolto dati sensibili dagli sviluppatori. Ha estratto portafogli di criptovalute, password del Portachiavi macOS, credenziali cloud, chiavi SSH e configurazioni di agenti AI. I dati estratti collegano gli hacker a piattaforme cloud, codebase e al mondo delle criptovalute.
GhostClaw analizza gli appunti alla ricerca di dati crittografici ogni tre secondi.
Il malware monitora gli appunti ogni tre secondi per acquisire dati crittografici. Questi includono chiavi private, frasi di recupero, chiavi pubbliche e altri dati sensibili relativi a portafogli e transazioni di criptovalute.
Una volta che lo sviluppatore esegue il comando 'npm install', uno script nascosto installa il pacchetto GhostClaw a livello globale. Lo strumento esegue un file di installazione offuscato sui computer degli sviluppatori per evitare di essere rilevato.
A questo punto, sullo schermo compare un falso programma di installazione di OpenClaw CLI. Questo chiede alla vittima di inserire la propria password di macOS tramite una richiesta nel Portachiavi. Il malware verifica la password utilizzando uno strumento nativo del sistema. Successivamente, scarica un secondo payload JavaScript da un server C2 remoto. Questo payload, chiamato GhostLoader, funge da strumento per il furto di dati e l'accesso remoto.
Il furto di dati inizia dopo il secondo download del payload. GhostLoader si occupa del lavoro più gravoso: analizza i browser Chromium, il Portachiavi del sistema operativo Macintosh (macOS) e la memoria di sistema alla ricerca di dati relativi ai portafogli di criptovalute. Inoltre, monitora quasi continuamente gli appunti per acquisire dati sensibili relativi alle criptovalute.
Il malware arriva persino a clonare le sessioni del browser. Questo consente agli hacker di accedere direttamente ai portafogli di criptovalute degli utenti autenticati e ad altri servizi correlati. Inoltre, lo strumento dannoso ruba i token API che collegano gli sviluppatori a piattaforme di intelligenza artificiale come OpenAI e Anthropic.
I dati rubati vengono quindi inviati agli autori delle minacce tramite Telegram, GoFile e server di comando. Il malware può anche eseguire numerosi comandi, distribuire ulteriori payload e aprire nuovi canali di accesso remoto.
La community di OpenClaw è stata colpita da un airdrop di token CLAW falsi.
Un'altra campagna malevola che sfrutta la popolarità di OpenClaw diffusa su GitHub. Il malware, scoperto dai ricercatori di sicurezza informatica di OX Security, mira a contattare direttamente gli sviluppatori per rubare dati crittografici.
Gli aggressori creano discussioni sui problemi nei repository di GitHub e taggano le potenziali vittime. Quindi affermano falsamente che gli sviluppatori selezionati hanno diritto a ricevere 5.000 dollari in token CLAW.
I messaggi indirizzano quindi gli sviluppatori destinatari a un sito web fasullo che sembra identico a openclaw[.]ai. Il sito di phishing invia una richiesta di connessione a un portafoglio di criptovalute che, una volta accettata dalla vittima, avvia azioni dannose. Collegare un portafoglio al sito può portare al furto immediato di fondi in criptovalute, avvertono i ricercatori di OX Security.
Un'analisi più approfondita dell'attacco rivela che la configurazione di phishing utilizza una catena di reindirizzamento verso token-claw[.]xyz e un server di comando su watery-compost[.]today. Un file JavaScript contenente codice dannoso ruba quindi gli indirizzi e le transazioni dei portafogli di criptovalute e li invia all'hacker.
OX Security ha individuato un indirizzo di portafoglio collegato all'autore della minaccia, che potrebbe contenere criptovalute rubate. Il codice dannoso include funzionalità per monitorare le azioni dell'utente e rimuovere dati dalla memoria locale. Ciò rende più difficili il rilevamento e l'analisi del malware.
È probabile che gli aggressori si concentrino sugli utenti che hanno interagito con repository correlati a OpenClaw per aumentare le loro possibilità di furto di criptovalute.
Entrambi gli attacchi si basano sull'ingegneria sociale come punto di accesso ai portafogli di criptovalute delle vittime. Gli utenti non dovrebbero collegare i propri portafogli di criptovalute a siti sconosciuti e dovrebbero diffidare delle offerte di token non richieste su GitHub.
Esiste una via di mezzo tra lasciare i soldi in banca e tentare la fortuna con le criptovalute. Inizia con questo video gratuito sulla finanza decentralizzata .