Openclaw-identiteettivarkaus varastaa salasanoja ja kryptolompakon tietoja

Turvallisuustutkijat paljastavat haitallisen Openclaw npm -paketin

Turvallisuustutkijat sanovat, että paketti on osa toimitusketjuhyökkäystä, joka kohdistuu Openclaw- ja vastaavia tekoälyagenttityökaluja käyttäviin kehittäjiin. Asennettuaan paketti käynnistää vaiheittaisen tartunnan, joka lopulta asentaa Ghostloader-nimisen etäkäyttöisen troijalaisen.

Hyökkäys tunnistettiin JFrog Security Researchin toimesta ja paljastettiin 8.–9. maaliskuuta 2026. Yrityksen raportin mukaan paketti ilmestyi npm-rekisteriin maaliskuun alussa, ja sitä oli ladattu 9. maaliskuuta mennessä noin 178 kertaa. Paljastuksesta huolimatta paketti oli edelleen saatavilla npm:ssä raportin laatimishetkellä.

Ensi silmäyksellä ohjelmisto näyttää harmittomalta. Paketti käyttää nimeä, joka muistuttaa virallista Openclaw-työkalua, ja sisältää tavallisilta näyttävät Javascript-tiedostot ja dokumentaation. Tutkijoiden mukaan näkyvät komponentit näyttävät harmittomilta, mutta haitallinen toiminta käynnistyy asennuksen aikana.

Kun joku asentaa paketin, piilotetut skriptit aktivoituvat automaattisesti. Nämä skriptit luovat illuusion laillisesta komentoriviasennusohjelmasta näyttämällä edistymisilmaisimia ja järjestelmäviestejä, jotka on suunniteltu jäljittelemään todellista ohjelmiston asennusrutiinia.

Asennusprosessin aikana ohjelma esittää väärennetyn järjestelmän valtuutuspyynnön, jossa pyydetään käyttäjän tietokoneen salasanaa. Pyynnössä väitetään, että se on tarpeen Openclaw-ohjelman tunnistetietojen turvallisen määrittämisen vuoksi. Jos salasana syötetään, haittaohjelma saa laajennetut käyttöoikeudet arkaluontoisiin järjestelmätietoihin.

Taustalla asennusohjelma hakee salatun hyötykuorman hyökkääjien hallitsemalta etäkomento- ja ohjauspalvelimelta. Salauksen purkamisen ja suorittamisen jälkeen hyötykuorma asentaa Ghostloader-etäkäyttötroijalaisen.

Tutkijoiden mukaan Ghostloader pysyy järjestelmässä naamioituneena tavalliseksi ohjelmistopalveluksi. Haittaohjelma ottaa sitten säännöllisesti yhteyttä komento- ja ohjausinfrastruktuuriinsa saadakseen ohjeita hyökkääjältä.

Troijalainen on suunniteltu keräämään monenlaista arkaluontoista tietoa. JFrogin analyysin mukaan se kohdistuu salasanatietokantoihin, selaimen evästeisiin, tallennettuihin tunnistetietoihin ja järjestelmän todennustietoihin, jotka voivat sisältää pääsyn pilvipalvelualustoille, kehittäjätileille ja sähköpostipalveluihin.

Kryptovaluutan käyttäjät voivat olla alttiina lisäriskeille. Haittaohjelma etsii tiedostoja, jotka liittyvät työpöydän kryptolompakkoihin ja selaimen lompakkolaajennuksiin, ja skannaa paikalliset kansiot siemenlauseiden tai muiden lompakon palautustietojen varalta.

Työkalu valvoo myös leikepöydän toimintaa ja voi kerätä SSH-avaimia ja kehittäjien yleisesti käyttämiä tunnistetietoja etäinfrastruktuuriin pääsemiseksi. Turvallisuusasiantuntijat sanovat, että tämä yhdistelmä tekee kehittäjien järjestelmistä erityisen houkuttelevia kohteita, koska niissä on usein tuotantoympäristöjen tunnistetietoja.

Tietojen varastamisen lisäksi Ghostloader sisältää etäkäyttöominaisuuksia, joiden avulla hyökkääjät voivat suorittaa komentoja, hakea tiedostoja tai reitittää verkkoliikennettä vaarantuneen järjestelmän kautta. Tutkijoiden mukaan nämä ominaisuudet muuttavat tartunnan saaneet koneet tehokkaasti jalansijaksi kehittäjäympäristöissä.

Haittaohjelma asentaa myös pysyvyysmekanismeja, jotta se käynnistyy automaattisesti järjestelmän uudelleenkäynnistyksen jälkeen. Nämä mekanismit sisältävät tyypillisesti piilotettuja hakemistoja ja muutoksia järjestelmän käynnistysasetuksiin.

JFrogin tutkijat tunnistivat useita kampanjaan liittyviä indikaattoreita, kuten epäilyttäviä järjestelmätiedostoja, jotka liittyvät "npm telemetry" -palveluun, sekä yhteyksiä hyökkääjien hallinnoimaan infrastruktuuriin.

Kyberturvallisuusanalyytikot sanovat, että tapaus heijastaa kasvavaa trendiä, jossa kehittäjien ekosysteemejä kohdennetaan toimitusketjuhyökkäyksillä. Kun tekoälykehykset ja automaatiotyökalut yleistyvät, hyökkääjät naamioivat haittaohjelmia yhä useammin hyödyllisiksi kehittäjätyökaluiksi.

Paketin asentaneita kehittäjiä kehotetaan poistamaan se välittömästi, tarkistamaan järjestelmän käynnistysasetukset, poistamaan epäilyttävät telemetriakansiot ja vaihtamaan kyseisellä koneella tallennetut salasanat ja tunnistetiedot.

Turvallisuusasiantuntijat suosittelevat myös, että kehittäjätyökalut asennetaan vain vahvistetuista lähteistä, npm-paketit tarkistetaan huolellisesti ennen yleistä asennusta ja epäilyttäviä riippuvuuksia havaitaan toimitusketjun skannaustyökaluilla.

Openclaw-projekti itsessään ei ole vaarantunut, ja tutkijat korostavat, että hyökkäys perustuu kehysjärjestelmän väärinkäyttöön harhaanjohtavan paketinimen avulla eikä virallisen ohjelmiston hyödyntämiseen.

UKK 🔎

• Mikä on haitallinen Openclaw npm -paketti?
  Paketti esiintyy OpenClaw-asennusohjelmana ja asentaa salaa GhostLoader-haittaohjelman.
• Mitä Ghostloader-haittaohjelma varastaa?
  Se kerää salasanoja, selaimen tunnistetietoja, kryptolompakon tietoja, SSH-avaimia ja pilvipalvelun tunnistetietoja.
• Kuka on suurimmassa vaarassa tämän npm-haittaohjelman hyökkäyksessä?
  Kaikki, jotka ovat asentaneet paketin, etenkin AI-kehys- tai kryptolompakkotyökaluja käyttävät, ovat saattaneet altistaa tunnistetietonsa.
• Mitä ihmisten tulisi tehdä, jos he ovat asentaneet paketin?
  Poista se välittömästi, tarkista järjestelmän käynnistystiedostot, poista epäilyttävät hakemistot ja vaihda kaikki arkaluontoiset tunnistetiedot.