Malware GhostClaw roba datos de billeteras a desarrolladores - Coinfea

Los hackers están utilizando un nuevo malware conocido como GhostClaw para atacar billeteras de criptomonedas en máquinas macOS. El instalador falso de OpenClaw captura claves privadas, acceso a billeteras y otros datos sensibles tras la instalación. El paquete falso fue subido por un usuario llamado ‘openclaw-ai’ el 3 de marzo.

ContenidoEl malware GhostClaw escanea el portapapeles en busca de datos de criptomonedasLos atacantes intensifican sus actividades de robo de criptomonedasEl malware permaneció en el registro de npm durante una semana y hasta ahora ha infectado a unos 178 desarrolladores antes de ser eliminado el 10 de marzo. Según informes, @openclaw-ai/openclawai se hacía pasar por una herramienta legítima de OpenClaw CLI, pero en realidad realizaba un ataque en varias etapas. El malware recopilaba datos sensibles de los desarrolladores. Extraía billeteras de criptomonedas, contraseñas de Keychain en macOS, credenciales en la nube, claves SSH y configuraciones de agentes de IA. Los datos extraídos conectan a los hackers con plataformas en la nube, bases de código y criptomonedas.

El malware GhostClaw escanea el portapapeles en busca de datos de criptomonedas

Según investigadores, el malware GhostClaw monitorea el portapapeles cada tres segundos para capturar datos de criptomonedas. Esto incluye claves privadas, frases semilla, claves públicas y otros datos sensibles relacionados con billeteras y transacciones de criptomonedas. Cuando el desarrollador ejecuta el comando ‘npm install’, un script oculto instala el paquete GhostClaw globalmente. La herramienta ejecuta un archivo de configuración ofuscado en las máquinas de los desarrolladores para evitar detección.

Un instalador falso de OpenClaw CLI aparece en la pantalla. Solicita a la víctima que ingrese su contraseña de macOS mediante una solicitud de Keychain. El malware verifica la contraseña usando una herramienta nativa del sistema. Luego, descarga una segunda carga útil en JavaScript desde un servidor C2 remoto. La carga útil, llamada GhostLoader, actúa como un ladrón de datos y una herramienta de acceso remoto. El robo de datos comienza después de la descarga de la segunda carga útil.

GhostLoader realiza la mayor parte del trabajo. Escanea navegadores Chromium, Keychain del sistema macOS y almacenamiento del sistema en busca de datos de billeteras de criptomonedas. También monitorea casi continuamente el portapapeles para capturar datos sensibles de criptomonedas. El malware incluso clona sesiones del navegador. Esto da a los hackers acceso directo a billeteras de criptomonedas en sesión y otros servicios relacionados. Además, la herramienta maliciosa roba tokens API que conectan a los desarrolladores con plataformas de IA como OpenAI y Anthropic.

Los atacantes intensifican sus actividades de robo de criptomonedas

Los datos robados se envían a los actores de amenazas vía Telegram, GoFile y servidores de comandos. El malware también puede ejecutar múltiples comandos, desplegar más cargas útiles y abrir nuevos canales de acceso remoto. Otra campaña maliciosa que aprovecha el bombo de OpenClaw también se difundió en GitHub. El malware, descubierto por investigadores de ciberseguridad de OX Security, busca contactar directamente a los desarrolladores y robar datos de criptomonedas.

Los atacantes crean hilos de problemas en repositorios de GitHub y etiquetan a posibles víctimas. Luego, afirman falsamente que los desarrolladores seleccionados son elegibles para recibir 5,000 dólares en tokens CLAW. Los mensajes llevan a los destinatarios a un sitio web falso que se parece exactamente a openclaw[.]ai. El sitio de phishing envía una solicitud de conexión a billetera de criptomonedas que inicia acciones dañinas al ser aceptada por la víctima. Vincular una billetera al sitio puede llevar al robo instantáneo de fondos en criptomonedas, advierten los investigadores de OX Security.

Un análisis adicional del ataque revela que la configuración de phishing usa una cadena de redirecciones a token-claw[.]xyz y a un servidor de comandos en watery-compost[.]today. Un archivo JavaScript con código malicioso roba direcciones de billeteras de criptomonedas y transacciones, enviándolas al hacker. OX Security encontró una dirección de billetera vinculada al actor de amenazas que podría contener criptomonedas robadas. El código malicioso tiene funciones para monitorear acciones del usuario y eliminar datos del almacenamiento local, dificultando la detección y análisis del malware.