ओपनक्लॉ इम्परसनेशन अटैक पासवर्ड और क्रिप्टो वॉलेट डेटा चुराता है।

सुरक्षा शोधकर्ताओं ने दुर्भावनापूर्ण Openclaw npm पैकेज का भंडाफोड़ किया

सुरक्षा शोधकर्ताओं का कहना है कि यह पैकेज ओपनक्लॉ और समान एआई-एजेंट टूलिंग के साथ काम करने वाले डेवलपर्स को लक्षित करने वाले एक सप्लाई-चेन हमले का हिस्सा है। इंस्टॉल होने के बाद, यह पैकेज एक चरणबद्ध संक्रमण शुरू करता है जो अंततः घोस्टलोडर के रूप में जाना जाने वाला एक रिमोट एक्सेस ट्रोजन तैनात करता है।

इस हमले की पहचान JFrog सिक्योरिटी रिसर्च द्वारा की गई थी और 8 मार्च और 9 मार्च, 2026 के बीच इसका खुलासा किया गया था। फर्म की रिपोर्ट के अनुसार, यह पैकेज मार्च की शुरुआत में npm रजिस्ट्री पर दिखाई दिया था और 9 मार्च तक इसे लगभग 178 बार डाउनलोड किया जा चुका था। खुलासे के बावजूद, रिपोर्टिंग के समय यह पैकेज npm पर उपलब्ध था।

पहली नज़र में, यह सॉफ़्टवेयर हानिरहित लगता है। यह पैकेज आधिकारिक Openclaw टूलिंग से मिलता-जुलता नाम का उपयोग करता है और इसमें साधारण दिखने वाली जावास्क्रिप्ट फ़ाइलें और दस्तावेज़ीकरण शामिल हैं। शोधकर्ताओं का कहना है कि दिखाई देने वाले घटक हानिरहित लगते हैं, जबकि दुर्भावनापूर्ण व्यवहार इंस्टॉलेशन प्रक्रिया के दौरान ट्रिगर होता है।

जब कोई भी पैकेज इंस्टॉल करता है, तो छिपी हुई स्क्रिप्ट स्वचालित रूप से सक्रिय हो जाती हैं। ये स्क्रिप्ट एक वैध कमांड-लाइन इंस्टॉलर का भ्रम पैदा करती हैं, और प्रगति संकेतक और सिस्टम संदेश प्रदर्शित करती हैं जो एक वास्तविक सॉफ्टवेयर सेटअप रूटीन की नकल करने के लिए डिज़ाइन किए गए हैं।

इंस्टॉलेशन प्रक्रिया के दौरान, प्रोग्राम एक नकली सिस्टम प्राधिकरण प्रॉम्प्ट प्रस्तुत करता है जो उपयोगकर्ता के कंप्यूटर का पासवर्ड मांगता है। प्रॉम्प्ट में दावा किया जाता है कि ओपनक्लॉ के लिए क्रेडेंशियल को सुरक्षित रूप से कॉन्फ़िगर करने के लिए यह अनुरोध आवश्यक है। यदि पासवर्ड दर्ज किया जाता है, तो मैलवेयर संवेदनशील सिस्टम डेटा तक उन्नत पहुंच प्राप्त कर लेता है।

परदे के पीछे, इंस्टॉलर हमलावरों द्वारा नियंत्रित एक दूरस्थ कमांड-एंड-कंट्रोल सर्वर से एक एन्क्रिप्टेड पेलोड प्राप्त करता है। एक बार डिक्रिप्ट और निष्पादित हो जाने पर, वह पेलोड घोस्टलोडर रिमोट एक्सेस ट्रोजन को इंस्टॉल कर देता है।

शोधकर्ताओं का कहना है कि घोस्टलोडर एक नियमित सॉफ्टवेयर सेवा के रूप में खुद को छिपाते हुए सिस्टम पर अपनी उपस्थिति बनाए रखता है। फिर मैलवेयर हमलावर से निर्देश प्राप्त करने के लिए समय-समय पर अपने कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर से संपर्क करता है।

यह ट्रोजन संवेदनशील जानकारी की एक विस्तृत श्रृंखला एकत्र करने के लिए डिज़ाइन किया गया है। जेफ़्रॉग के विश्लेषण के अनुसार, यह पासवर्ड डेटाबेस, ब्राउज़र कुकीज़, सहेजे गए क्रेडेंशियल और सिस्टम प्रमाणीकरण स्टोर को लक्षित करता है, जिनमें क्लाउड प्लेटफ़ॉर्म, डेवलपर खातों और ईमेल सेवाओं तक पहुंच शामिल हो सकती है।

क्रिप्टोकरेंसी उपयोगकर्ताओं को अतिरिक्त जोखिम का सामना करना पड़ सकता है। यह मैलवेयर डेस्कटॉप क्रिप्टो वॉलेट और ब्राउज़र वॉलेट एक्सटेंशन से जुड़ी फ़ाइलों को खोजता है और सीड फ़्रेज़ या अन्य वॉलेट रिकवरी जानकारी के लिए स्थानीय फ़ोल्डरों को स्कैन करता है।

यह टूल क्लिपबोर्ड गतिविधि की भी निगरानी करता है और SSH कुंजियों और विकास क्रेडेंशियल्स को इकट्ठा कर सकता है, जिनका उपयोग इंजीनियर आमतौर पर दूरस्थ बुनियादी ढांचे तक पहुंचने के लिए करते हैं। सुरक्षा विशेषज्ञों का कहना है कि यह संयोजन डेवलपर सिस्टम को विशेष रूप से आकर्षक लक्ष्य बनाता है क्योंकि उनमें अक्सर प्रोडक्शन वातावरण के क्रेडेंशियल होते हैं।

डेटा चोरी के अलावा, घोस्टलोडर में दूरस्थ पहुँच क्षमताएँ शामिल हैं जो हमलावरों को कमांड निष्पादित करने, फ़ाइलें प्राप्त करने, या समझौता किए गए सिस्टम के माध्यम से नेटवर्क ट्रैफ़िक को राउट करने की अनुमति देती हैं। शोधकर्ताओं का कहना है कि ये सुविधाएँ संक्रमित मशीनों को डेवलपर वातावरण के अंदर पैर जमाने का ठिकाना बना देती हैं।

यह दुर्भावनापूर्ण सॉफ़्टवेयर स्थायी तंत्र भी इंस्टॉल करता है ताकि यह सिस्टम के रिबूट होने के बाद स्वचालित रूप से फिर से शुरू हो जाए। इन तंत्रों में आमतौर पर छिपी हुई निर्देशिकाएं और सिस्टम स्टार्टअप कॉन्फ़िगरेशन में संशोधन शामिल होते हैं।

जेफ़्रॉग के शोधकर्ताओं ने इस अभियान से जुड़े कई संकेतकों की पहचान की है, जिसमें "एनपीएम टेलीमेट्री" सेवा से जुड़ी संदिग्ध सिस्टम फ़ाइलें और हमलावरों द्वारा नियंत्रित बुनियादी ढांचे से कनेक्शन शामिल हैं।

साइबर सुरक्षा विश्लेषकों का कहना है कि यह घटना डेवलपर इकोसिस्टम को लक्षित करने वाले सप्लाई-चेन हमलों के बढ़ते रुझान को दर्शाती है। जैसे-जैसे एआई फ्रेमवर्क और ऑटोमेशन टूल लोकप्रिय हो रहे हैं, हमलावर तेजी से मैलवेयर को उपयोगी डेवलपर यूटिलिटीज के रूप में छिपा रहे हैं।

जिन डेवलपर्स ने यह पैकेज इंस्टॉल किया है, उन्हें सलाह दी जाती है कि वे इसे तुरंत हटा दें, सिस्टम स्टार्टअप कॉन्फ़िगरेशन की समीक्षा करें, संदिग्ध टेलीमेट्री डायरेक्टरीज़ को हटा दें, और प्रभावित मशीन पर संग्रहीत पासवर्ड और क्रेडेंशियल बदल दें।

सुरक्षा विशेषज्ञ यह भी सलाह देते हैं कि डेवलपर टूल्स केवल सत्यापित स्रोतों से ही इंस्टॉल करें, ग्लोबल इंस्टॉलेशन से पहले npm पैकेजों की सावधानीपूर्वक समीक्षा करें, और संदिग्ध निर्भरताओं का पता लगाने के लिए सप्लाई-चेन स्कैनिंग टूल्स का उपयोग करें।

ओपनक्लॉ प्रोजेक्ट स्वयं समझौता नहीं हुआ है, और शोधकर्ताओं ने इस बात पर जोर दिया है कि यह हमला आधिकारिक सॉफ्टवेयर का फायदा उठाने के बजाय एक भ्रामक पैकेज नाम के माध्यम से फ्रेमवर्क का भेष धारण करने पर निर्भर करता है।

अक्सर पूछे जाने वाले प्रश्न 🔎

• दुर्भावनापूर्ण Openclaw npm पैकेज क्या है?
  यह पैकेज OpenClaw इंस्टॉलर का भेष धारण करता है और गुप्त रूप से GhostLoader मैलवेयर इंस्टॉल करता है।
• GhostLoader मैलवेयर क्या चुराता है?
  यह पासवर्ड, ब्राउज़र क्रेडेंशियल, क्रिप्टो वॉलेट डेटा, SSH कुंजियाँ, और क्लाउड सेवा क्रेडेंशियल एकत्र करता है।
• इस npm मैलवेयर हमले से सबसे अधिक जोखिम में कौन है?
  जिसने भी यह पैकेज इंस्टॉल किया है, विशेष रूप से जो AI फ्रेमवर्क या क्रिप्टो वॉलेट टूल का उपयोग कर रहे हैं, उनके क्रेडेंशियल उजागर हो सकते हैं।
• अगर लोगों ने यह पैकेज इंस्टॉल किया है तो उन्हें क्या करना चाहिए?
  इसे तुरंत हटा दें, सिस्टम स्टार्टअप फ़ाइलों की जाँच करें, संदिग्ध निर्देशिकाओं को हटा दें, और सभी संवेदनशील क्रेडेंशियल्स को बदलें।