Malware GhostClaw mencuri data dompet dari pengembang - Coinfea

Peretas menggunakan malware baru yang dikenal sebagai GhostClaw untuk menargetkan dompet kripto di mesin macOS. Installer OpenClaw palsu menangkap kunci pribadi, akses dompet, dan data sensitif lainnya setelah instalasi. Paket palsu ini diunggah oleh pengguna bernama ‘openclaw-ai’ pada 3 Maret.

IsiGhostClaw malware memindai clipboard untuk data kriptoSerangan meningkat aktivitas pencurian kripto malware tetap di registry npm selama seminggu dan hingga saat ini telah menginfeksi sekitar 178 pengembang sebelum dihapus pada 10 Maret. Menurut laporan, @openclaw-ai/openclawai menyamar sebagai alat CLI OpenClaw yang sah tetapi sebenarnya menjalankan serangan multi-tahap. Malware ini mengumpulkan data sensitif dari pengembang. Ia mengekstrak dompet kripto, kata sandi Keychain macOS, kredensial cloud, kunci SSH, dan konfigurasi agen AI. Data yang diekstrak menghubungkan peretas ke platform cloud, basis kode, dan kripto.

GhostClaw malware memindai clipboard untuk data kripto

Menurut para peneliti, malware GhostClaw memantau clipboard setiap tiga detik untuk menangkap data kripto. Ini termasuk kunci pribadi, frasa seed, kunci publik, dan data sensitif lain terkait dompet dan transaksi kripto. Setelah pengembang menjalankan perintah ‘npm install’, sebuah skrip tersembunyi menginstal paket GhostClaw secara global. Alat ini menjalankan file setup yang diacak di mesin pengembang untuk menghindari deteksi.

Installer CLI OpenClaw palsu kemudian muncul di layar. Ia meminta korban memasukkan kata sandi macOS mereka melalui permintaan Keychain. Malware memverifikasi kata sandi tersebut menggunakan alat sistem asli. Setelah itu, malware mengunduh payload JavaScript kedua dari server C2 jarak jauh. Payload ini, yang disebut GhostLoader, berfungsi sebagai pencuri data dan alat akses jarak jauh. Pencurian data dimulai setelah pengunduhan payload kedua.

GhostLoader melakukan pekerjaan berat. Ia memindai browser Chromium, Keychain macOS, dan penyimpanan sistem untuk data dompet kripto. Ia juga hampir terus-menerus memantau clipboard untuk menangkap data kripto sensitif. Malware ini bahkan mengkloning sesi browser. Ini memberi peretas akses langsung ke dompet kripto yang sedang login dan layanan terkait lainnya. Selain itu, alat berbahaya ini mencuri token API yang menghubungkan pengembang ke platform AI seperti OpenAI dan Anthropic.

Penyerang meningkatkan aktivitas pencurian kripto mereka

Data yang dicuri kemudian dikirim ke aktor ancaman melalui Telegram, GoFile, dan server perintah. Malware ini juga dapat menjalankan berbagai perintah, menyebarkan payload lebih banyak, dan membuka saluran akses jarak jauh baru. Kampanye berbahaya lain yang bergantung pada hype OpenClaw juga menyebar di GitHub. Malware ini, yang ditemukan oleh peneliti keamanan siber dari OX Security, bertujuan menghubungi pengembang secara langsung dan mencuri data kripto.

Penyerang membuat thread isu di repositori GitHub dan menandai korban potensial. Kemudian mereka secara palsu menyatakan bahwa pengembang terpilih berhak menerima $5.000 dalam token CLAW. Pesan tersebut kemudian mengarahkan pengembang yang menerima ke situs palsu yang tampak persis seperti openclaw[.]ai. Situs phishing ini mengirim permintaan koneksi dompet kripto yang memulai tindakan berbahaya saat diterima korban. Menghubungkan dompet ke situs ini dapat menyebabkan pencurian dana kripto secara instan, peringatan peneliti OX Security.

Analisis lebih lanjut terhadap serangan mengungkapkan bahwa pengaturan phishing menggunakan rantai redirect ke token-claw[.]xyz dan server perintah di watery-compost[.]today. Sebuah file JavaScript dengan kode berbahaya kemudian mencuri alamat dompet kripto dan transaksi serta mengirimkannya ke peretas. OX Security menemukan sebuah alamat dompet yang terkait dengan aktor ancaman yang mungkin menyimpan kripto yang dicuri. Kode berbahaya ini memiliki fitur untuk memantau tindakan pengguna dan menghapus data dari penyimpanan lokal. Ini membuat deteksi dan analisis malware menjadi lebih sulit.