Un paquet npm malveillant se faisant passer pour un programme d'installation du framework d'agent d'intelligence artificielle (IA) Openclaw propage un logiciel malveillant conçu pour voler des identifiants et prendre discrètement le contrôle des machines des développeurs.
Une attaque par usurpation d'identité Openclaw vole des mots de passe et des données de portefeuilles cryptographiques
ÉCRIT PAR
PARTAGER
Des chercheurs en sécurité dévoilent un paquet npm Openclaw malveillant
Selon les chercheurs en sécurité, ce paquet fait partie d'une attaque de la chaîne d'approvisionnement visant les développeurs qui travaillent avec Openclaw et des outils d'agent IA similaires. Une fois installé, le paquet lance une infection par étapes qui déploie finalement un cheval de Troie d'accès à distance connu sous le nom de Ghostloader.
L'attaque a été identifiée par JFrog Security Research et révélée entre le 8 et le 9 mars 2026. Selon le rapport de la société, le paquet est apparu dans le registre npm début mars et avait été téléchargé environ 178 fois au 9 mars. Malgré cette révélation, le paquet était toujours disponible sur npm au moment de la publication du rapport.
À première vue, le logiciel semble inoffensif. Le paquet utilise un nom qui ressemble à l'outil officiel Openclaw et comprend des fichiers Javascript et une documentation d'apparence ordinaire. Les chercheurs affirment que les composants visibles semblent inoffensifs, tandis que le comportement malveillant est déclenché pendant le processus d'installation.
Lorsque quelqu'un installe le paquet, des scripts cachés s'activent automatiquement. Ces scripts créent l'illusion d'un programme d'installation en ligne de commande légitime, affichant des indicateurs de progression et des messages système conçus pour imiter une véritable routine d'installation de logiciel. Au cours de la séquence d'installation, le programme présente une fausse invite d'autorisation système demandant le mot de passe de l'ordinateur de l'utilisateur. L'invite prétend que cette demande est nécessaire pour configurer en toute sécurité les informations d'identification pour Openclaw. Si le mot de passe est saisi, le logiciel malveillant obtient un accès privilégié aux données sensibles du système.
En arrière-plan, le programme d'installation récupère une charge utile cryptée à partir d'un serveur de commande et de contrôle distant contrôlé par les attaquants. Une fois décryptée et exécutée, cette charge utile installe le cheval de Troie d'accès à distance Ghostloader.
Selon les chercheurs, Ghostloader s'installe de manière persistante sur le système tout en se faisant passer pour un service logiciel courant. Le logiciel malveillant contacte ensuite périodiquement son infrastructure de commande et de contrôle pour recevoir les instructions de l'attaquant. Le cheval de Troie est conçu pour collecter un large éventail d'informations sensibles. Selon l'analyse de JFrog, il cible les bases de données de mots de passe, les cookies des navigateurs, les identifiants enregistrés et les magasins d'authentification du système qui peuvent contenir des accès à des plateformes cloud, des comptes de développeurs et des services de messagerie électronique.
Les utilisateurs de cryptomonnaies peuvent être exposés à un risque supplémentaire. Le logiciel malveillant recherche les fichiers associés aux portefeuilles cryptographiques de bureau et aux extensions de portefeuille de navigateur, et analyse les dossiers locaux à la recherche de phrases de récupération ou d'autres informations de récupération de portefeuille. L'outil surveille également l'activité du presse-papiers et peut récolter les clés SSH et les identifiants de développement couramment utilisés par les ingénieurs pour accéder à l'infrastructure distante. Les experts en sécurité affirment que cette combinaison rend les systèmes des développeurs particulièrement attractifs, car ils contiennent souvent des identifiants pour les environnements de production.
Outre le vol de données, Ghostloader inclut des capacités d'accès à distance qui permettent aux attaquants d'exécuter des commandes, de récupérer des fichiers ou d'acheminer le trafic réseau via le système compromis. Selon les chercheurs, ces fonctionnalités transforment efficacement les machines infectées en points d'ancrage au sein des environnements de développement.
Le logiciel malveillant installe également des mécanismes de persistance afin de redémarrer automatiquement après le redémarrage du système. Ces mécanismes impliquent généralement des répertoires cachés et des modifications des configurations de démarrage du système. Les chercheurs de JFrog ont identifié plusieurs indicateurs associés à cette campagne, notamment des fichiers système suspects liés à un service « npm telemetry » et des connexions à des infrastructures contrôlées par les attaquants.
Les analystes en cybersécurité affirment que cet incident reflète une tendance croissante des attaques de la chaîne d'approvisionnement visant les écosystèmes de développeurs. À mesure que les frameworks d'IA et les outils d'automatisation gagnent en popularité, les attaquants dissimulent de plus en plus souvent leurs logiciels malveillants sous la forme d'utilitaires utiles pour les développeurs. Il est conseillé aux développeurs qui ont installé le package de le supprimer immédiatement, de vérifier les configurations de démarrage du système, de supprimer les répertoires de télémétrie suspects et de changer les mots de passe et les identifiants stockés sur la machine affectée.
Nasdaq et Kraken développent une passerelle reliant les actions tokenisées aux réseaux blockchain
Les actions tokenisées se rapprochent de la finance traditionnelle alors que Nasdaq et Payward s'associent pour créer une passerelle reliant les marchés boursiers réglementés aux marchés ouverts. read more.
Lire
Nasdaq et Kraken développent une passerelle reliant les actions tokenisées aux réseaux blockchain
Les actions tokenisées se rapprochent de la finance traditionnelle alors que Nasdaq et Payward s'associent pour créer une passerelle reliant les marchés boursiers réglementés aux marchés ouverts. read more.
LireNasdaq et Kraken développent une passerelle reliant les actions tokenisées aux réseaux blockchain
LireLes actions tokenisées se rapprochent de la finance traditionnelle alors que Nasdaq et Payward s'associent pour créer une passerelle reliant les marchés boursiers réglementés aux marchés ouverts. read more.
Les experts en sécurité recommandent également de n'installer que des outils de développement provenant de sources vérifiées, d'examiner attentivement les paquets npm avant leur installation globale et d'utiliser des outils d'analyse de la chaîne d'approvisionnement pour détecter les dépendances suspectes. Le projet Openclaw lui-même n'a pas été compromis, et les chercheurs soulignent que l'attaque repose sur l'usurpation du cadre par un nom de paquet trompeur plutôt que sur l'exploitation du logiciel officiel.
FAQ 🔎
- Qu'est-ce que le paquet npm malveillant Openclaw ? Le paquet usurpe l'identité d'un programme d'installation OpenClaw et installe secrètement le logiciel malveillant GhostLoader.
- Que vole le malware Ghostloader ? Il collecte les mots de passe, les identifiants de navigateur, les données de portefeuille cryptographique, les clés SSH et les identifiants de service cloud.
- Qui est le plus exposé à cette attaque malveillante npm ? Toute personne ayant installé le paquet, en particulier celles qui utilisent des frameworks d'IA ou des outils de portefeuille cryptographique, peut avoir exposé ses identifiants.
- Que doivent faire les personnes qui ont installé le paquet ? Supprimez-le immédiatement, vérifiez les fichiers de démarrage du système, supprimez les répertoires suspects et modifiez tous les identifiants sensibles.
