ハッカーは、macOSマシン上の暗号通貨ウォレットを標的とした新しいマルウェア「GhostClaw」を使用しています。偽のOpenClawインストーラーは、インストール後に秘密鍵、ウォレットアクセス、その他の機密データを捕捉します。この偽パッケージは、2023年3月3日に「openclaw-ai」というユーザーによってアップロードされました。内容GhostClawマルウェアはクリップボードをスキャンして暗号データを取得攻撃者は暗号盗難活動を強化このマルウェアはnpmレジストリに1週間留まり、これまでに約178人の開発者が感染しましたが、3月10日に削除されました。報告によると、@openclaw-ai/openclawaiは正当なOpenClaw CLIツールを装っていましたが、実際には多段階の攻撃を行っていました。マルウェアは開発者から機密データを収集し、暗号ウォレット、macOSのキーチェーンパスワード、クラウド認証情報、SSHキー、AIエージェントの設定を抽出します。抽出されたデータはハッカーとクラウドプラットフォーム、コードベース、暗号通貨をつなぎます。## GhostClawマルウェアはクリップボードをスキャンして暗号データを取得研究者によると、GhostClawマルウェアは3秒ごとにクリップボードを監視し、暗号データをキャプチャします。これには秘密鍵、シードフレーズ、公開鍵、その他暗号通貨ウォレットや取引に関する機密情報が含まれます。開発者が「npm install」コマンドを実行すると、隠されたスクリプトがGhostClawパッケージをグローバルにインストールします。このツールは検出を避けるために難読化されたセットアップファイルを開発者のマシン上で実行します。次に、偽のOpenClaw CLIインストーラーが画面に表示されます。これにより、被害者はKeychainリクエストを通じてmacOSのパスワードを入力するよう促されます。マルウェアはネイティブのシステムツールを使ってパスワードを検証します。その後、リモートのC2サーバーから2つ目のJavaScriptペイロードをダウンロードします。このペイロードはGhostLoaderと呼ばれ、データ盗取とリモートアクセスツールとして機能します。2つ目のペイロードのダウンロード後にデータ盗取が開始されます。GhostLoaderは重要な作業を行います。Chromiumブラウザ、macOSのキーチェーン、システムストレージをスキャンして暗号通貨ウォレットのデータを抽出します。また、ほぼ絶えずクリップボードを監視し、機密の暗号データをキャプチャします。さらに、ブラウザセッションをクローンし、ハッカーにログイン済みの暗号通貨ウォレットや関連サービスへの直接アクセスを可能にします。加えて、OpenAIやAnthropicなどのAIプラットフォームに接続するAPIトークンも盗みます。## 攻撃者は暗号盗難活動を強化盗まれたデータはTelegram、GoFile、コマンドサーバーを通じて脅威アクターに送信されます。マルウェアはまた、多数のコマンドを実行したり、追加のペイロードを展開したり、新たなリモートアクセスチャネルを開設したりすることも可能です。OpenClawの話題に便乗した別の悪意あるキャンペーンもGitHub上で拡散しています。このマルウェアは、サイバーセキュリティ研究者のOX Securityによって発見され、開発者に直接連絡し暗号データを盗むことを目的としています。攻撃者はGitHubリポジトリにissueスレッドを作成し、潜在的な被害者にタグ付けします。その後、選ばれた開発者が$5,000相当のCLAWトークンを受け取る資格があると虚偽のメッセージを送ります。これらのメッセージは、受信者をopenclaw[.]aiとそっくりの偽のウェブサイトへ誘導します。フィッシングサイトは暗号通貨ウォレットの接続リクエストを送信し、被害者が承認すると有害な操作が開始されます。ウォレットをサイトにリンクさせると、暗号資金の即時盗難につながる可能性があるとOX Securityの研究者は警告しています。攻撃の詳細な分析によると、フィッシングの仕組みはredirect chainを利用してtoken-claw[.]xyzとwatery-compost[.]todayのコマンドサーバーにリダイレクトします。悪意のあるJavaScriptファイルは暗号通貨ウォレットのアドレスや取引情報を盗み、それらをハッカーに送信します。OX Securityは、攻撃者に関連付けられたウォレットアドレスを発見し、盗まれた暗号通貨を保持している可能性があると指摘しています。この悪意のあるコードは、ユーザーの操作を監視し、ローカルストレージからデータを削除する機能も備えており、マルウェアの検出と解析を困難にしています。
GhostClawマルウェアが開発者のウォレットデータを盗む - Coinfea
ハッカーは、macOSマシン上の暗号通貨ウォレットを標的とした新しいマルウェア「GhostClaw」を使用しています。偽のOpenClawインストーラーは、インストール後に秘密鍵、ウォレットアクセス、その他の機密データを捕捉します。この偽パッケージは、2023年3月3日に「openclaw-ai」というユーザーによってアップロードされました。
内容 GhostClawマルウェアはクリップボードをスキャンして暗号データを取得 攻撃者は暗号盗難活動を強化 このマルウェアはnpmレジストリに1週間留まり、これまでに約178人の開発者が感染しましたが、3月10日に削除されました。報告によると、@openclaw-ai/openclawaiは正当なOpenClaw CLIツールを装っていましたが、実際には多段階の攻撃を行っていました。マルウェアは開発者から機密データを収集し、暗号ウォレット、macOSのキーチェーンパスワード、クラウド認証情報、SSHキー、AIエージェントの設定を抽出します。抽出されたデータはハッカーとクラウドプラットフォーム、コードベース、暗号通貨をつなぎます。
GhostClawマルウェアはクリップボードをスキャンして暗号データを取得
研究者によると、GhostClawマルウェアは3秒ごとにクリップボードを監視し、暗号データをキャプチャします。これには秘密鍵、シードフレーズ、公開鍵、その他暗号通貨ウォレットや取引に関する機密情報が含まれます。開発者が「npm install」コマンドを実行すると、隠されたスクリプトがGhostClawパッケージをグローバルにインストールします。このツールは検出を避けるために難読化されたセットアップファイルを開発者のマシン上で実行します。
次に、偽のOpenClaw CLIインストーラーが画面に表示されます。これにより、被害者はKeychainリクエストを通じてmacOSのパスワードを入力するよう促されます。マルウェアはネイティブのシステムツールを使ってパスワードを検証します。その後、リモートのC2サーバーから2つ目のJavaScriptペイロードをダウンロードします。このペイロードはGhostLoaderと呼ばれ、データ盗取とリモートアクセスツールとして機能します。2つ目のペイロードのダウンロード後にデータ盗取が開始されます。
GhostLoaderは重要な作業を行います。Chromiumブラウザ、macOSのキーチェーン、システムストレージをスキャンして暗号通貨ウォレットのデータを抽出します。また、ほぼ絶えずクリップボードを監視し、機密の暗号データをキャプチャします。さらに、ブラウザセッションをクローンし、ハッカーにログイン済みの暗号通貨ウォレットや関連サービスへの直接アクセスを可能にします。加えて、OpenAIやAnthropicなどのAIプラットフォームに接続するAPIトークンも盗みます。
攻撃者は暗号盗難活動を強化
盗まれたデータはTelegram、GoFile、コマンドサーバーを通じて脅威アクターに送信されます。マルウェアはまた、多数のコマンドを実行したり、追加のペイロードを展開したり、新たなリモートアクセスチャネルを開設したりすることも可能です。OpenClawの話題に便乗した別の悪意あるキャンペーンもGitHub上で拡散しています。このマルウェアは、サイバーセキュリティ研究者のOX Securityによって発見され、開発者に直接連絡し暗号データを盗むことを目的としています。
攻撃者はGitHubリポジトリにissueスレッドを作成し、潜在的な被害者にタグ付けします。その後、選ばれた開発者が$5,000相当のCLAWトークンを受け取る資格があると虚偽のメッセージを送ります。これらのメッセージは、受信者をopenclaw[.]aiとそっくりの偽のウェブサイトへ誘導します。フィッシングサイトは暗号通貨ウォレットの接続リクエストを送信し、被害者が承認すると有害な操作が開始されます。ウォレットをサイトにリンクさせると、暗号資金の即時盗難につながる可能性があるとOX Securityの研究者は警告しています。
攻撃の詳細な分析によると、フィッシングの仕組みはredirect chainを利用してtoken-claw[.]xyzとwatery-compost[.]todayのコマンドサーバーにリダイレクトします。悪意のあるJavaScriptファイルは暗号通貨ウォレットのアドレスや取引情報を盗み、それらをハッカーに送信します。OX Securityは、攻撃者に関連付けられたウォレットアドレスを発見し、盗まれた暗号通貨を保持している可能性があると指摘しています。この悪意のあるコードは、ユーザーの操作を監視し、ローカルストレージからデータを削除する機能も備えており、マルウェアの検出と解析を困難にしています。