伪装开源工具的恶意程序入侵开发者生态
3月23日,Gate News 披露,一款名为 GhostClaw 的新型恶意软件正对 macOS 系统上的加密钱包应用发起定向攻击,主要目标为活跃于开源社区的开发者。该程序以伪造的 OpenClaw CLI 工具包形式上传至 npm 注册表,账号名为 openclaw-ai,自3月3日上线后迅速扩散,至3月10日被下架,期间累计感染178名开发人员。
权限获取与远程载荷部署双阶段攻击模式
安装后,恶意程序诱导用户输入系统管理员密码以提升权限,随后从远程命令与控制(C2)服务器下载第二阶段模块 GhostLoader。该组件具备全面的数据扫描能力,可深入挖掘 Chromium 浏览器存储、macOS Keychain 及本地文件系统中的敏感信息,包括私钥、助记词、SSH 密钥、云服务凭证及人工智能平台 API 令牌。
实时剪贴板监控与多通道数据外泄
为确保关键信息不遗漏,该恶意软件每3秒执行一次剪贴板内容扫描,精准捕获与加密资产相关的复制粘贴操作。窃取的数据通过 Telegram、GoFile 以及指定命令服务器分批回传,形成闭环式情报收集链条,显著提升攻击隐蔽性与数据回收效率。
