惡意npm包偽裝OpenClaw安裝程序部署遠(yuǎn)控木馬，竊取macOS憑證

網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個(gè)惡意npm包，該包偽裝成OpenClaw安裝程序來(lái)部署遠(yuǎn)程訪問(wèn)木馬（RAT）并從被攻擊主機(jī)中竊取敏感數(shù)據(jù)。

該包名為"@openclaw-ai/openclawai"，由用戶名為"openclaw-ai"的用戶于2026年3月3日上傳到注冊(cè)表。截至目前已被下載178次。在撰寫本文時(shí)，該庫(kù)仍可供下載。

發(fā)現(xiàn)該包的JFrog公司表示，該包旨在竊取系統(tǒng)憑證、瀏覽器數(shù)據(jù)、加密錢包、SSH密鑰、Apple鑰匙串?dāng)?shù)據(jù)庫(kù)和iMessage歷史記錄，同時(shí)安裝具有遠(yuǎn)程訪問(wèn)能力、SOCKS5代理和實(shí)時(shí)瀏覽器會(huì)話克隆功能的持久性RAT。

"這次攻擊因其廣泛的數(shù)據(jù)收集、使用社會(huì)工程學(xué)獲取受害者系統(tǒng)密碼以及其持久性和命令控制基礎(chǔ)設(shè)施的復(fù)雜性而引人注目，"安全研究員Meitar Palas說(shuō)道。"在內(nèi)部，該惡意軟件將自己標(biāo)識(shí)為GhostLoader。"

惡意邏輯通過(guò)postinstall鉤子觸發(fā)，該鉤子使用命令"npm i -g @openclaw-ai/openclawai"全局重新安裝該包。安裝完成后，OpenClaw二進(jìn)制文件通過(guò)"package.json"文件中的"bin"屬性指向"scripts/setup.js"。

值得注意的是，"bin"字段用于定義在包安裝期間應(yīng)添加到用戶PATH的可執(zhí)行文件。這反過(guò)來(lái)將包轉(zhuǎn)換為全局可訪問(wèn)的命令行工具。

文件"setup.js"作為第一階段投遞器，運(yùn)行時(shí)顯示一個(gè)令人信服的虛假命令行界面，帶有動(dòng)畫進(jìn)度條，給人以O(shè)penClaw正在主機(jī)上安裝的印象。在所謂的安裝步驟完成后，腳本顯示一個(gè)虛假的iCloud鑰匙串授權(quán)提示，要求用戶輸入系統(tǒng)密碼。

同時(shí)，腳本從命令控制服務(wù)器（"trackpipe[.]dev"）檢索加密的第二階段JavaScript有效負(fù)載，然后解碼，寫入臨時(shí)文件，并作為分離的子進(jìn)程生成，繼續(xù)在后臺(tái)運(yùn)行。臨時(shí)文件在60秒后被刪除以掩蓋活動(dòng)痕跡。

"如果Safari目錄不可訪問(wèn)（沒(méi)有完全磁盤訪問(wèn)權(quán)限），腳本會(huì)顯示AppleScript對(duì)話框，敦促用戶授予終端FDA權(quán)限，包括逐步說(shuō)明和直接打開(kāi)系統(tǒng)偏好設(shè)置的按鈕，"JFrog解釋道。"這使第二階段有效負(fù)載能夠竊取Apple Notes、iMessage、Safari歷史記錄和郵件數(shù)據(jù)。"

包含約11,700行代碼的JavaScript第二階段是一個(gè)成熟的信息竊取器和RAT框架，具備持久性、數(shù)據(jù)收集、瀏覽器解密、命令控制通信、SOCKS5代理和實(shí)時(shí)瀏覽器克隆能力。它還配備了竊取多種數(shù)據(jù)的功能：

包括本地login.keychain-db和所有iCloud鑰匙串?dāng)?shù)據(jù)庫(kù)在內(nèi)的macOS鑰匙串；基于Chromium的所有瀏覽器的憑證、cookie、信用卡和自動(dòng)填充數(shù)據(jù)，如Google Chrome、Microsoft Edge、Brave、Vivaldi、Opera、Yandex和Comet；桌面錢包應(yīng)用程序和瀏覽器擴(kuò)展的數(shù)據(jù)；加密貨幣錢包種子短語(yǔ)；SSH密鑰；AWS、Microsoft Azure、Google Cloud、Kubernetes、Docker和GitHub的開(kāi)發(fā)者和云憑證；人工智能智能體配置；以及受FDA保護(hù)的數(shù)據(jù)，包括Apple Notes、iMessage歷史記錄、Safari瀏覽歷史、郵件賬戶配置和Apple賬戶信息。

在最后階段，收集的數(shù)據(jù)被壓縮成tar.gz存檔，并通過(guò)多個(gè)渠道泄露，包括直接發(fā)送到命令控制服務(wù)器、Telegram Bot API和GoFile.io。

此外，該惡意軟件進(jìn)入持久守護(hù)模式，允許其每三秒監(jiān)控剪貼板內(nèi)容，并傳輸任何匹配九種預(yù)定義模式的數(shù)據(jù)，這些模式對(duì)應(yīng)私鑰、WIF密鑰、SOL私鑰、RSA私鑰、BTC地址、以太坊地址、AWS密鑰、OpenAI密鑰和Strike密鑰。

其他功能包括監(jiān)控運(yùn)行進(jìn)程、實(shí)時(shí)掃描傳入的iMessage聊天，以及執(zhí)行從命令控制服務(wù)器發(fā)送的命令來(lái)運(yùn)行任意shell命令、在受害者的默認(rèn)瀏覽器上打開(kāi)URL、下載額外有效負(fù)載、上傳文件、啟動(dòng)/停止SOCKS5代理、列出可用瀏覽器、克隆瀏覽器配置文件并在無(wú)頭模式下啟動(dòng)、停止瀏覽器克隆、自毀和自更新。

瀏覽器克隆功能特別危險(xiǎn)，因?yàn)樗鼏?dòng)一個(gè)帶有包含cookie、登錄和歷史數(shù)據(jù)的現(xiàn)有瀏覽器配置文件的無(wú)頭Chromium實(shí)例。這為攻擊者提供了完全驗(yàn)證的瀏覽器會(huì)話，無(wú)需訪問(wèn)憑證。

"@openclaw-ai/openclawai包將社會(huì)工程學(xué)、加密有效負(fù)載傳遞、廣泛數(shù)據(jù)收集和持久性RAT結(jié)合到單個(gè)npm包中，"JFrog說(shuō)道。"精心制作的虛假CLI安裝程序和鑰匙串提示足夠令人信服，可以從謹(jǐn)慎的開(kāi)發(fā)者那里提取系統(tǒng)密碼，一旦被捕獲，這些憑證就能解鎖macOS鑰匙串解密和瀏覽器憑證提取，否則這些操作會(huì)被操作系統(tǒng)級(jí)保護(hù)阻止。"

Q&A

Q1：GhostLoader惡意軟件是什么？它有哪些危害？

A：GhostLoader是一個(gè)復(fù)雜的信息竊取器和遠(yuǎn)程訪問(wèn)木馬框架，偽裝成OpenClaw安裝程序。它能竊取系統(tǒng)憑證、瀏覽器數(shù)據(jù)、加密錢包、SSH密鑰、Apple鑰匙串?dāng)?shù)據(jù)庫(kù)等敏感信息，還具備持久性控制、SOCKS5代理和實(shí)時(shí)瀏覽器會(huì)話克隆等功能。

Q2：這個(gè)惡意npm包是如何騙取用戶系統(tǒng)密碼的？

A：該惡意包通過(guò)顯示虛假的命令行安裝界面和偽造的iCloud鑰匙串授權(quán)提示來(lái)進(jìn)行社會(huì)工程學(xué)攻擊。它會(huì)顯示帶有動(dòng)畫進(jìn)度條的假安裝過(guò)程，然后彈出看起來(lái)很真實(shí)的系統(tǒng)密碼輸入框，誘騙用戶輸入密碼。

Q3：瀏覽器克隆功能有什么危險(xiǎn)？

A：瀏覽器克隆功能會(huì)啟動(dòng)一個(gè)包含用戶現(xiàn)有瀏覽器配置文件的無(wú)頭Chromium實(shí)例，其中包含cookie、登錄信息和歷史數(shù)據(jù)。這使攻擊者無(wú)需獲取具體憑證就能獲得完全驗(yàn)證的瀏覽器會(huì)話，可以訪問(wèn)用戶的所有在線賬戶。