Gate Newsの報告によると、3月23日、GhostClawと呼ばれるマルウェアが最近macOSシステム上の暗号通貨ウォレットを標的に攻撃を開始し、主に開発者コミュニティを狙っています。このマルウェアは、偽のOpenClaw CLIインストールパッケージとしてnpmレジストリにアップロードされ、アカウント名はopenclaw-aiで、3月3日に公開され、3月10日に削除されました。この期間中に178人の開発者が感染しています。インストール後、悪意のあるプログラムはユーザーにmacOSのパスワード入力を促し、システム権限を取得します。その後、リモートコマンド&コントロール(C2)サーバーから第2段階のペイロードであるGhostLoaderをダウンロードし、データの窃取とリモートアクセスを行います。GhostLoaderはChromiumブラウザ、macOSのキーチェーン、ローカルストレージをスキャンし、秘密鍵、ニーモニックフレーズ、SSHキー、クラウド認証情報、AIプラットフォームのAPIトークンを抽出します。また、3秒ごとにクリップボードを監視し、暗号関連の敏感なデータを捕捉します。盗まれたデータはTelegram、GoFile、コマンドサーバーを通じて攻撃者に送信されます。
