Napad lažnog predstavljanja Openclaw krade lozinke i podatke kripto novčanika

Sigurnosni istraživači razotkrili zlonamjerni Openclaw npm paket

Sigurnosni istraživači navode da je paket dio napada na opskrbni lanac usmjerenog na programere koji rade s Openclawom i sličnim alatima za AI agente. Nakon instalacije, paket pokreće višefaznu infekciju koja na kraju implementira trojanskog konja za udaljeni pristup poznatog kao Ghostloader.

Napad je identificirao JFrog Security Research te je objavljen između 8. i 9. ožujka 2026. Prema izvješću tvrtke, paket se pojavio na npm registru početkom ožujka i bio je preuzet otprilike 178 puta do 9. ožujka. Unatoč objavi, paket je u trenutku izvještavanja i dalje bio dostupan na npm-u.

Na prvi pogled, softver djeluje bezopasno. Paket koristi naziv koji nalikuje službenim Openclaw alatima i uključuje uobičajene Javascript datoteke i dokumentaciju. Istraživači kažu da vidljive komponente djeluju benigno, dok se zlonamjerno ponašanje aktivira tijekom procesa instalacije.

Kada netko instalira paket, skriveni skriptovi se automatski aktiviraju. Ti skriptovi stvaraju privid legitimnog instalacijskog programa u naredbenom retku, prikazujući indikatore napretka i sistemske poruke osmišljene da oponašaju stvarnu rutinu postavljanja softvera.

Tijekom instalacijskog slijeda program prikazuje lažni upit za autorizaciju sustava kojim traži lozinku korisnikova računala. Upit tvrdi da je zahtjev potreban kako bi se sigurno konfigurirale vjerodajnice za Openclaw. Ako se lozinka unese, zlonamjerni softver dobiva povišeni pristup osjetljivim podacima sustava.

U pozadini, instalacijski program preuzima šifrirani payload s udaljenog poslužitelja za zapovijedanje i kontrolu kojim upravljaju napadači. Nakon dešifriranja i izvršavanja, taj payload instalira Ghostloader trojanskog konja za udaljeni pristup.

Istraživači navode da Ghostloader uspostavlja postojanost na sustavu dok se prikriva kao rutinska softverska usluga. Zlonamjerni softver zatim periodično kontaktira svoju infrastrukturu za zapovijedanje i kontrolu kako bi primao upute od napadača.

Trojanski konj osmišljen je za prikupljanje širokog raspona osjetljivih informacija. Prema JFrogovoj analizi, cilja baze lozinki, kolačiće preglednika, spremljene vjerodajnice i spremišta sistemske autentifikacije koja mogu sadržavati pristup cloud platformama, programerskim računima i uslugama e-pošte.

Korisnici kriptovaluta mogu biti izloženi dodatnom riziku. Zlonamjerni softver traži datoteke povezane s desktop kripto novčanicima i ekstenzijama novčanika u pregledniku te skenira lokalne mape u potrazi za seed frazama ili drugim informacijama za oporavak novčanika.

Alat također nadzire aktivnost međuspremnika (clipboarda) i može prikupiti SSH ključeve i razvojne vjerodajnice koje inženjeri uobičajeno koriste za pristup udaljenoj infrastrukturi. Sigurnosni stručnjaci navode da ova kombinacija čini programerske sustave posebno privlačnim metama jer često sadrže vjerodajnice za produkcijska okruženja.

Osim krađe podataka, Ghostloader uključuje mogućnosti udaljenog pristupa koje napadačima omogućuju izvršavanje naredbi, preuzimanje datoteka ili usmjeravanje mrežnog prometa kroz kompromitirani sustav. Istraživači kažu da ove značajke učinkovito pretvaraju zaražena računala u uporišta unutar programerskih okruženja.

Zlonamjerni softver također instalira mehanizme postojanosti kako bi se automatski ponovno pokrenuo nakon ponovnog pokretanja sustava. Ti mehanizmi obično uključuju skrivene direktorije i izmjene konfiguracija pokretanja sustava.

JFrogovi istraživači identificirali su nekoliko pokazatelja povezanih s kampanjom, uključujući sumnjive sistemske datoteke vezane uz uslugu “npm telemetry” i veze prema infrastrukturi koju kontroliraju napadači.

Analitičari kibernetičke sigurnosti navode da incident odražava rastući trend napada na opskrbni lanac usmjerenih na ekosustave programera. Kako AI okviri i alati za automatizaciju dobivaju na popularnosti, napadači sve češće prikrivaju zlonamjerni softver kao korisne razvojne alate.

Programerima koji su instalirali paket savjetuje se da ga odmah uklone, pregledaju konfiguracije pokretanja sustava, izbrišu sumnjive telemetry direktorije te promijene lozinke i vjerodajnice pohranjene na zahvaćenom računalu.

Sigurnosni stručnjaci također preporučuju instaliranje razvojnih alata samo iz provjerenih izvora, pažljiv pregled npm paketa prije globalne instalacije i korištenje alata za skeniranje opskrbnog lanca radi otkrivanja sumnjivih ovisnosti.

Sam Openclaw projekt nije kompromitiran, a istraživači naglašavaju da se napad oslanja na lažno predstavljanje okvira putem obmanjujućeg naziva paketa, umjesto na iskorištavanje službenog softvera.

FAQ 🔎

• Što je zlonamjerni Openclaw npm paket?
  Paket se predstavlja kao OpenClaw instalacijski program i potajno instalira zlonamjerni softver GhostLoader.
• Što krade zlonamjerni softver Ghostloader?
  Prikuplja lozinke, vjerodajnice preglednika, podatke kripto novčanika, SSH ključeve i vjerodajnice za cloud usluge.
• Tko je najviše ugrožen ovim napadom npm zlonamjernog softvera?
  Svatko tko je instalirao paket, osobito oni koji koriste AI okvire ili alate za kripto novčanike, mogao je izložiti svoje vjerodajnice.
• Što bi ljudi trebali učiniti ako su instalirali paket?
  Odmah ga ukloniti, provjeriti datoteke pokretanja sustava, izbrisati sumnjive direktorije i promijeniti sve osjetljive vjerodajnice.