GhostClaw вредоносное ПО атакует macOS кошельки для криптовалют и затрагивает 178 разработчиков

По сообщению Cryptopolitan, вредоносное ПО под названием GhostClaw было обнаружено в атаках на macOS-кошельки для криптовалют. Оно маскировалось под npm-пакет OpenClaw CLI, загруженный 3 марта компанией “openclaw-ai” и удалённый 10 марта, в результате чего пострадали 178 разработчиков. После установки программа похищала приватные ключи, доступ к кошелькам и конфиденциальные данные, включая криптокошельки, пароли macOS Keychain, облачные учетные данные, SSH-ключи и настройки AI. Она каждые три секунды сканировала буфер обмена для получения приватных ключей, мнемонических фраз и данных транзакций, используя двухэтапную нагрузку GhostLoader для кражи данных и удалённого доступа. Передаваемые данные отправлялись в Telegram, GoFile и командный сервер. Также компания OX Security раскрыла другую атаку, при которой через GitHub злоумышленники распространяли “CLAWS token” на сумму 5000 долларов, чтобы заманить разработчиков на поддельный сайт openclaw[.]ai и подключить кошельки, что приводило к краже средств. Связанные цепочки указывают на сайты token-claw[.]xyz и watery-compost[.]today. Обе атаки использовали социальную инженерию.