Phần mềm độc hại GhostClaw ăn cắp dữ liệu ví từ các nhà phát triển - Coinfea

Các hacker đang sử dụng phần mềm độc hại mới gọi là GhostClaw để tấn công ví tiền điện tử trên các máy macOS. Trình cài đặt giả OpenClaw ghi lại khóa riêng, quyền truy cập ví và các dữ liệu nhạy cảm khác sau khi cài đặt. Gói giả này được tải lên bởi một người dùng có tên ‘openclaw-ai’ vào ngày 3 tháng 3.

Nội dung Phần mềm độc hại GhostClaw quét clipboard để lấy dữ liệu crypto Tăng cường hoạt động trộm cắp crypto của hacker Phần mềm độc hại này đã tồn tại trên registry npm trong một tuần và đã lây nhiễm khoảng 178 nhà phát triển trước khi bị gỡ bỏ vào ngày 10 tháng 3. Theo các báo cáo, @openclaw-ai/openclawai giả danh là một công cụ CLI OpenClaw hợp pháp nhưng thực chất thực hiện một cuộc tấn công nhiều giai đoạn. Phần mềm độc hại thu thập dữ liệu nhạy cảm từ các nhà phát triển. Nó trích xuất ví tiền điện tử, mật khẩu Keychain của macOS, thông tin đăng nhập đám mây, khóa SSH và cấu hình AI agent. Dữ liệu trích xuất được kết nối hacker với các nền tảng đám mây, mã nguồn và crypto.

Phần mềm độc hại GhostClaw quét clipboard để lấy dữ liệu crypto

Theo các nhà nghiên cứu, phần mềm độc hại GhostClaw theo dõi clipboard cứ mỗi ba giây để bắt dữ liệu crypto. Điều này bao gồm khóa riêng, cụm từ seed, khóa công khai và các dữ liệu nhạy cảm khác liên quan đến ví tiền điện tử và giao dịch. Khi nhà phát triển chạy lệnh ‘npm install’, một script ẩn sẽ cài đặt gói GhostClaw toàn cục. Công cụ này chạy một tệp cài đặt mập mờ trên máy của nhà phát triển để tránh bị phát hiện.

Trình cài đặt CLI giả OpenClaw sau đó xuất hiện trên màn hình. Nó yêu cầu nạn nhân nhập mật khẩu macOS của họ qua yêu cầu Keychain. Phần mềm độc hại xác minh mật khẩu bằng một công cụ hệ thống gốc. Sau đó, nó tải xuống một payload JavaScript thứ hai từ máy chủ C2 từ xa. Payload này, gọi là GhostLoader, hoạt động như một phần mềm đánh cắp dữ liệu và công cụ truy cập từ xa. Việc trộm dữ liệu bắt đầu sau khi tải xuống payload thứ hai.

GhostLoader thực hiện phần công việc nặng. Nó quét trình duyệt Chromium, Keychain của macOS và bộ nhớ hệ thống để lấy dữ liệu ví tiền điện tử. Nó cũng theo dõi clipboard gần như liên tục để bắt dữ liệu crypto nhạy cảm. Phần mềm độc hại thậm chí sao chép các phiên trình duyệt, cho phép hacker truy cập trực tiếp vào các ví tiền điện tử đã đăng nhập và các dịch vụ liên quan khác. Hơn nữa, công cụ độc hại này còn đánh cắp token API kết nối nhà phát triển với các nền tảng AI như OpenAI và Anthropic.

Các hacker tăng cường hoạt động trộm cắp crypto

Dữ liệu bị đánh cắp sau đó được gửi đến các tác nhân đe dọa qua Telegram, GoFile và các máy chủ lệnh. Phần mềm độc hại còn có thể chạy nhiều lệnh, triển khai thêm payloads và mở các kênh truy cập từ xa mới. Một chiến dịch độc hại khác dựa trên sự nổi tiếng của OpenClaw cũng đã lan truyền trên GitHub. Phần mềm độc hại này, được các nhà nghiên cứu an ninh mạng của OX Security phát hiện, nhằm liên hệ trực tiếp với nhà phát triển và trộm cắp dữ liệu crypto.

Các hacker tạo các chủ đề vấn đề trong các kho lưu trữ GitHub và gắn thẻ các nạn nhân tiềm năng. Sau đó, họ giả danh nói rằng các nhà phát triển được chọn đủ điều kiện nhận 5.000 đô la trong token CLAW. Các tin nhắn này dẫn các nhà phát triển đến một trang web giả mạo giống hệt openclaw[.]ai. Trang web lừa đảo gửi yêu cầu kết nối ví tiền điện tử, bắt đầu các hành động có hại khi nạn nhân chấp nhận. Liên kết ví với trang web này có thể dẫn đến việc mất tiền crypto ngay lập tức, theo cảnh báo của các nhà nghiên cứu OX Security.

Phân tích sâu hơn về cuộc tấn công cho thấy rằng thiết lập lừa đảo sử dụng chuỗi chuyển hướng đến token-claw[.]xyz và một máy chủ lệnh tại watery-compost[.]today. Một tệp JavaScript chứa mã độc sau đó đánh cắp địa chỉ ví và các giao dịch crypto, gửi chúng đến hacker. OX Security phát hiện ra một địa chỉ ví liên kết với tác nhân đe dọa có thể chứa crypto bị đánh cắp. Mã độc còn có các tính năng theo dõi hành động người dùng và xóa dữ liệu khỏi bộ nhớ cục bộ, làm cho việc phát hiện và phân tích phần mềm độc hại trở nên khó khăn hơn.