بدافزار GhostClaw داده‌های کیف پول رمزگذاری‌شده توسعه‌دهندگان را از طریق یک بسته npm می‌دزدد.

PANews در تاریخ 1404/01/02 گزارش داد که بر اساس گزارش Cryptopolitan، یک بدافزار جدید به نام GhostClaw کیف پول‌های رمزنگاری شده در دستگاه‌های macOS را هدف قرار داده است. این بدافزار که به عنوان ابزار قانونی OpenClaw CLI جا زده بود، به مدت یک هفته در رجیستری npm وجود داشت و 178 توسعه‌دهنده را قبل از حذف شدن در تاریخ 1403/12/19 آلوده کرد. هنگامی که یک توسعه‌دهنده دستور "npm install" را اجرا می‌کند، یک اسکریپت مخفی به صورت سراسری بسته GhostClaw را نصب می‌کند و از طریق فایل‌های پیکربندی مبهم از شناسایی فرار می‌کند.

GhostClaw هر سه ثانیه یک بار کلیپ بورد را اسکن می‌کند و داده‌های مرتبط با کیف پول رمزنگاری شده و تراکنش‌ها مانند کلیدهای خصوصی، عبارات یادآور و کلیدهای عمومی را ضبط می‌کند. پس از دانلود بارگذاری در مرحله دوم، GhostLoader داده‌های کیف پول رمزنگاری شده را در مرورگر Chromium، Keychain macOS و ذخیره‌سازی سیستم اسکن می‌کند، نشست‌های مرورگر را شبیه‌سازی می‌کند تا به کیف پول‌های وارد شده دسترسی پیدا کند و توکن‌های API متصل به پلتفرم‌های هوش مصنوعی مانند OpenAI و Anthropic را می‌دزدد. داده‌های سرقت شده از طریق Telegram، GoFile و سرورهای فرمان به مهاجمان ارسال می‌شود.