بدافزار GhostClaw اطلاعات کیف پول رمزگذاری شده توسعه‌دهندگان را از طریق بسته‌های npm سرقت می‌کند

طبق گزارش Cryptopolitan، نوع جدیدی از بدافزار به نام GhostClaw کیف پول‌های ارز دیجیتال را در دستگاه‌های macOS هدف قرار می‌دهد.

این بدافزار خود را به عنوان یک ابزار خط فرمان (CLI) قانونی OpenClaw جا زده بود و به مدت یک هفته در رجیستری npm وجود داشت و پس از آلوده کردن ۱۷۸ توسعه‌دهنده، حذف شد. به محض اینکه توسعه‌دهندگان دستور "npm install" را اجرا می‌کنند، یک اسکریپت پنهان به صورت سراسری بسته GhostClaw را نصب می‌کند و از طریق فایل‌های پیکربندی مبهم‌سازی شده، از شناسایی شدن جلوگیری می‌کند. GhostClaw هر سه ثانیه کلیپ‌بورد را اسکن می‌کند و کلیدهای خصوصی، عبارات بازیابی، کلیدهای عمومی و سایر داده‌های مربوط به کیف پول ارز دیجیتال و تراکنش‌ها را ثبت می‌کند.

پس از دانلود بار داده‌ی مرحله‌ی دوم، GhostLoader داده‌های کیف پول ارز دیجیتال را در مرورگر Chromium، macOS Keychain و حافظه‌ی سیستم اسکن می‌کند، جلسات مرورگر را شبیه‌سازی می‌کند تا به کیف پول‌های وارد شده دسترسی پیدا کند و توکن‌های API را که به پلتفرم‌های هوش مصنوعی مانند OpenAI و Anthropic متصل می‌شوند، می‌دزدد. داده‌های سرقت‌شده از طریق تلگرام، GoFile و سرورهای فرماندهی برای مهاجمان ارسال می‌شوند.