恶意软件GhostClaw通过npm包窃取开发者的加密钱包数据

据Cryptopolitan报道，一种名为GhostClaw的新型恶意软件正在针对macOS设备上的加密货币钱包。

此恶意软件伪装成合法的 OpenClaw CLI 工具，在 npm 注册表中存在一周，然后在感染 178 名开发人员后将其删除。一旦开发者运行"npm install"命令，一个隐藏脚本全局安装GhostClaw软件包，并通过混淆的配置文件来逃避检测。GhostClaw 每三秒扫描一次剪贴板，捕获私钥、种子短语、公钥以及其他加密货币钱包和交易相关数据。

第二阶段有效载荷下载后，GhostLoader扫描Chromium浏览器、macOS Keychain和系统存储中的加密货币钱包数据，克隆浏览器会话以访问登录的钱包，并窃取连接到OpenAI和Anthropic等AI平台的API令牌。被盗数据通过Telegram、GoFile和命令服务器发送给攻击者。