حمله جعل هویت Openclaw گذرواژه‌ها و داده‌های کیف پول‌های رمزارزی را سرقت می‌کند

پژوهشگران امنیتی بستهٔ مخرب Openclaw در npm را افشا کردند

پژوهشگران امنیتی می‌گویند این بسته بخشی از یک حملهٔ زنجیرهٔ تأمین است که توسعه‌دهندگانی را هدف می‌گیرد که با اوپن‌کلاو و ابزارهای مشابهِ ابزارسازیِ عامل‌های هوش مصنوعی کار می‌کنند. پس از نصب، این بسته یک آلودگی چندمرحله‌ای را آغاز می‌کند که در نهایت یک تروجانِ دسترسی از راه دور به نام Ghostloader را مستقر می‌سازد.

این حمله توسط JFrog Security Research شناسایی شد و بین ۸ تا ۹ مارس ۲۰۲۶ افشا گردید. طبق گزارش این شرکت، این بسته در اوایل مارس روی رجیستری npm ظاهر شد و تا ۹ مارس حدود ۱۷۸ بار دانلود شده بود. با وجود افشا، این بسته در زمان تهیهٔ گزارش همچنان روی npm در دسترس بود.

در نگاه اول، نرم‌افزار بی‌ضرر به نظر می‌رسد. بسته از نامی استفاده می‌کند که شبیه ابزار رسمی Openclaw است و شامل فایل‌های جاوااسکریپت و مستندات ظاهراً معمولی است. پژوهشگران می‌گویند اجزای قابل مشاهده بی‌خطر به نظر می‌رسند، در حالی که رفتار مخرب در جریان فرایند نصب فعال می‌شود.

وقتی کسی این بسته را نصب می‌کند، اسکریپت‌های پنهان به‌طور خودکار فعال می‌شوند. این اسکریپت‌ها توهمِ یک نصب‌کنندهٔ خط فرمانِ مشروع را ایجاد می‌کنند و نشانگرهای پیشرفت و پیام‌های سیستمی را نمایش می‌دهند که برای تقلید از روال واقعیِ نصب نرم‌افزار طراحی شده‌اند.

در طول توالی نصب، برنامه یک اعلانِ جعلیِ مجوزدهی سیستم نمایش می‌دهد و رمز عبور رایانهٔ کاربر را درخواست می‌کند. در این اعلان ادعا می‌شود این درخواست برای پیکربندی امنِ اطلاعات کاربریِ اوپن‌کلاو لازم است. اگر رمز عبور وارد شود، بدافزار به داده‌های حساس سیستم دسترسیِ ارتقایافته پیدا می‌کند.

در پشت صحنه، نصب‌کننده یک بارِ اجراییِ رمزگذاری‌شده را از یک سرورِ فرمان‌دهی‌وکنترلِ راه دور که تحت کنترل مهاجمان است بازیابی می‌کند. پس از رمزگشایی و اجرا، آن بارِ اجرایی تروجانِ دسترسی از راه دور Ghostloader را نصب می‌کند.

پژوهشگران می‌گویند Ghostloader با پنهان‌سازی خود به‌عنوان یک سرویس نرم‌افزاری معمول، ماندگاری روی سیستم را برقرار می‌کند. سپس بدافزار به‌صورت دوره‌ای با زیرساختِ فرمان‌دهی‌وکنترل خود تماس می‌گیرد تا دستورالعمل‌ها را از مهاجم دریافت کند.

این تروجان برای جمع‌آوری طیف گسترده‌ای از اطلاعات حساس طراحی شده است. طبق تحلیل JFrog، این بدافزار پایگاه‌های دادهٔ رمز عبور، کوکی‌های مرورگر، اطلاعات کاربری ذخیره‌شده، و مخازن احراز هویت سیستم را هدف می‌گیرد که ممکن است شامل دسترسی به پلتفرم‌های ابری، حساب‌های توسعه‌دهندگان و سرویس‌های ایمیل باشند.

کاربران ارزهای دیجیتال ممکن است با خطر بیشتری روبه‌رو شوند. بدافزار به‌دنبال فایل‌های مرتبط با کیف‌پول‌های رمزارزیِ دسکتاپ و افزونه‌های کیف‌پولِ مرورگر می‌گردد و پوشه‌های محلی را برای یافتن عبارت‌های بازیابی (seed phrase) یا سایر اطلاعات بازیابی کیف‌پول اسکن می‌کند.

این ابزار همچنین فعالیت کلیپ‌بورد را پایش می‌کند و می‌تواند کلیدهای SSH و اطلاعات کاربریِ توسعه را که معمولاً توسط مهندسان برای دسترسی به زیرساختِ راه دور استفاده می‌شود برداشت کند. کارشناسان امنیتی می‌گویند این ترکیب، سیستم‌های توسعه‌دهندگان را به اهدافی به‌خصوص جذاب تبدیل می‌کند، زیرا آن‌ها اغلب اطلاعات کاربریِ دسترسی به محیط‌های تولید را در خود نگه می‌دارند.

علاوه بر سرقت داده، Ghostloader قابلیت‌های دسترسی از راه دور دارد که به مهاجمان اجازه می‌دهد فرمان اجرا کنند، فایل‌ها را بازیابی کنند، یا ترافیک شبکه را از طریق سیستمِ آلوده مسیریابی کنند. پژوهشگران می‌گویند این قابلیت‌ها عملاً رایانه‌های آلوده را به پایگاه‌هایی درون محیط‌های توسعه‌دهندگان تبدیل می‌کند.

نرم‌افزار مخرب همچنین سازوکارهای ماندگاری را نصب می‌کند تا پس از راه‌اندازی مجدد سیستم به‌طور خودکار دوباره اجرا شود. این سازوکارها معمولاً شامل دایرکتوری‌های پنهان و تغییراتی در پیکربندی‌های آغاز به کارِ سیستم هستند.

پژوهشگران JFrog چندین شاخص مرتبط با این کمپین را شناسایی کردند، از جمله فایل‌های مشکوک سیستمی مرتبط با یک سرویس «تله‌متری npm» و اتصال به زیرساخت‌هایی که توسط مهاجمان کنترل می‌شود.

تحلیلگران امنیت سایبری می‌گویند این رخداد بازتاب‌دهندهٔ روند رو‌به‌رشدی از حملات زنجیرهٔ تأمین است که اکوسیستم‌های توسعه‌دهندگان را هدف می‌گیرد. با افزایش محبوبیت چارچوب‌های هوش مصنوعی و ابزارهای خودکارسازی، مهاجمان بیش از پیش بدافزار را در قالب ابزارهای مفید توسعه‌دهندگان پنهان می‌کنند.

به توسعه‌دهندگانی که این بسته را نصب کرده‌اند توصیه می‌شود فوراً آن را حذف کنند، پیکربندی‌های آغاز به کارِ سیستم را بررسی کنند، دایرکتوری‌های تله‌متریِ مشکوک را پاک کنند، و رمزهای عبور و اطلاعات کاربری ذخیره‌شده روی دستگاهِ آلوده را تعویض کنند.

کارشناسان امنیتی همچنین توصیه می‌کنند ابزارهای توسعه را فقط از منابع تأییدشده نصب کنید، پیش از نصب سراسری (global) بسته‌های npm آن‌ها را با دقت بررسی کنید، و از ابزارهای اسکن زنجیرهٔ تأمین برای شناسایی وابستگی‌های مشکوک استفاده کنید.

خودِ پروژهٔ Openclaw به خطر نیفتاده است و پژوهشگران تأکید می‌کنند که این حمله به‌جای سوءاستفاده از نرم‌افزار رسمی، بر جا زدنِ خود به‌جای چارچوب از طریق نام فریبندهٔ بسته تکیه دارد.

پرسش‌های متداول 🔎

• بستهٔ مخرب Openclaw در npm چیست؟
  این بسته خود را به‌جای نصب‌کنندهٔ OpenClaw جا می‌زند و به‌طور مخفیانه بدافزار GhostLoader را نصب می‌کند.
• بدافزار Ghostloader چه چیزهایی را سرقت می‌کند؟
  این بدافزار رمزهای عبور، اطلاعات کاربری مرورگر، داده‌های کیف‌پول رمزارزی، کلیدهای SSH و اطلاعات کاربری سرویس‌های ابری را جمع‌آوری می‌کند.
• چه کسانی بیشترین خطر را از این حملهٔ بدافزاریِ npm دارند؟
  هر کسی که این بسته را نصب کرده باشد، به‌ویژه افرادی که از چارچوب‌های هوش مصنوعی یا ابزارهای کیف‌پول رمزارزی استفاده می‌کنند، ممکن است اطلاعات کاربریِ در معرض افشا داشته باشند.
• اگر کسی این بسته را نصب کرده باشد چه باید بکند؟
  فوراً آن را حذف کند، فایل‌های آغاز به کارِ سیستم را بررسی کند، دایرکتوری‌های مشکوک را پاک کند و همهٔ اطلاعات کاربریِ حساس را تعویض کند.