Openclaw'i identiteedivargusega varastatakse paroole ja krüptovaluuta rahakoti andmeid

Turvauurijad paljastavad pahatahtliku Openclaw npm-paketi

Turvauurijad väidavad, et pakett on osa tarneahela rünnakust, mis on suunatud Openclaw ja sarnaste AI-agendi tööriistadega töötavatele arendajatele. Pärast installimist käivitab pakett etapiviisilise nakkuse, mis lõpuks paigaldab kaugjuurdepääsu troojalase nimega Ghostloader.

Rünnaku tuvastas JFrog Security Research ja avalikustas selle 8.–9. märtsil 2026. Firma aruande kohaselt ilmus pakett npm-registrisse märtsi alguses ja oli 9. märtsiks alla laaditud ligikaudu 178 korda. Avalikustamisest hoolimata oli pakett aruande koostamise ajal npm-is endiselt saadaval.

Esmapilgul tundub tarkvara kahjutu. Pakett kasutab nime, mis sarnaneb ametliku Openclaw-tööriistaga, ja sisaldab tavalise välimusega Javascript-faile ja dokumentatsiooni. Uurijate sõnul näivad nähtavad komponendid kahjutud, kuid pahatahtlik käitumine käivitub installimisprotsessi ajal.

Kui keegi paketi installib, aktiveeruvad varjatud skriptid automaatselt. Need skriptid loovad illusiooni õiguspärasest käsurea installijast, kuvades edusamme näitavaid indikaatoreid ja süsteemisõnumeid, mis on mõeldud jäljendama tõelist tarkvara installimisprotsessi.

Installimise käigus kuvab programm võltsitud süsteemi autoriseerimise küsitluse, milles küsitakse kasutaja arvuti parooli. Küsitluses väidetakse, et see on vajalik Openclaw'i autentimisandmete turvaliseks konfigureerimiseks. Kui parool sisestatakse, saab pahavara kõrgendatud juurdepääsu tundlikele süsteemiandmetele.

Taustal laadib installija alla krüpteeritud koormuse kaugjuhtimisserverist, mida kontrollivad ründajad. Pärast dekodeerimist ja käivitamist installib see koormus Ghostloader kaugjuurdepääsu troojalise.

Teadlaste sõnul loob Ghostloader süsteemis püsiva kohaloleku, varjates end tavalise tarkvarateenusena. Seejärel võtab pahavara perioodiliselt ühendust oma juhtimise infrastruktuuriga, et saada ründajalt juhiseid.

Trooja on loodud koguma laia valikut tundlikku teavet. JFrogi analüüsi kohaselt on selle sihtmärgiks paroolide andmebaasid, brauseri küpsised, salvestatud autentimisandmed ja süsteemi autentimise salvestuspaigad, mis võivad sisaldada juurdepääsu pilveplatvormidele, arendajakontodele ja e-posti teenustele.

Krüptovaluuta kasutajad võivad olla täiendava ohu all. Pahavara otsib faile, mis on seotud töölaua krüptorahakottide ja brauseri rahakoti laiendustega, ning skaneerib kohalikke kaustu, et leida algfraase või muud rahakoti taastamise teavet.

Tööriist jälgib ka lõikelaua tegevust ja võib koguda SSH-võtmeid ja arendaja autentimisandmeid, mida insenerid tavaliselt kasutavad kauginfrastruktuurile juurdepääsuks. Turbeeksperdid väidavad, et see kombinatsioon muudab arendajate süsteemid eriti atraktiivseks sihtmärgiks, kuna neil on sageli autentimisandmed tootmiskeskkondadesse.

Lisaks andmete vargusele sisaldab Ghostloader kaugjuurdepääsu võimalusi, mis võimaldavad ründajatel käivitada käske, hankida faile või suunata võrguliiklust ohustatud süsteemi kaudu. Teadlaste sõnul muudavad need funktsioonid nakatunud masinad arendajate keskkondades tõhusaks tugipunktiks.

Pahavara installib ka püsivusmehhanismid, mis tagavad selle automaatse taaskäivitumise pärast süsteemi taaskäivitamist. Need mehhanismid hõlmavad tavaliselt peidetud katalooge ja süsteemi käivitamiskonfiguratsioonide muudatusi.

JFrog teadlased tuvastasid mitu kampaaniaga seotud indikaatorit, sealhulgas kahtlased süsteemifailid, mis on seotud teenusega „npm telemetry”, ja ühendused ründajate kontrollitava infrastruktuuriga.

Küberjulgeoleku analüütikud väidavad, et see intsident peegeldab kasvavat suundumust arendajate ökosüsteeme sihtivate tarneahela rünnakute osas. AI-raamistike ja automatiseerimistööriistade populaarsuse kasvades varjavad ründajad pahavara üha sagedamini kasulike arendajate utiliitidena.

Paketi installinud arendajatel soovitatakse see viivitamatult eemaldada, vaadata üle süsteemi käivitamiskonfiguratsioonid, kustutada kahtlased telemeetria kataloogid ning vahetada mõjutatud masinal salvestatud paroolid ja kasutajatunnused.

Turbeeksperdid soovitavad ka arendajate tööriistu installida ainult kontrollitud allikatest, vaadata npm-paketid enne globaalset installimist hoolikalt üle ja kasutada tarneahela skaneerimistööriistu kahtlaste sõltuvuste avastamiseks.

Openclaw-projekt ise ei ole ohustatud ja teadlased rõhutavad, et rünnak põhineb raamistiku jäljendamisel petliku paketinime abil, mitte ametliku tarkvara ärakasutamisel.

KKK 🔎

• Mis on pahatahtlik Openclaw npm-pakett?
  Pakett teeskleb OpenClaw installijat ja installib salaja GhostLoader pahavara.
• Mida pahavara Ghostloader varastab?
  See kogub paroole, brauseri kasutajatunnuseid, krüptovaluuta rahakoti andmeid, SSH-võtmeid ja pilveteenuste kasutajatunnuseid.
• Kes on kõige rohkem ohustatud selle npm pahavara rünnaku poolt?
  Kõik, kes on paketi installinud, eriti need, kes kasutavad AI raamistikke või krüptovaluuta rahakoti tööriistu, võivad olla oma kasutajatunnused ohustanud.
• Mida peaksid inimesed tegema, kui nad on paketi installinud?
  Eemaldage see kohe, kontrollige süsteemi käivitusfaile, kustutage kahtlased kataloogid ja vahetage kõik tundlikud kasutajatunnused.