Az Openclaw-személyazonosság-lopási támadás jelszavakat és kriptovaluta-pénztárca adatokat lop el

Biztonsági kutatók leleplezik a rosszindulatú Openclaw npm csomagot

A biztonsági kutatók szerint a csomag egy olyan ellátási lánc támadás része, amely az Openclaw-val és hasonló AI-ügynök eszközökkel dolgozó fejlesztőket célozza meg. A csomag telepítése után egy fokozatos fertőzés indul el, amely végül egy Ghostloader nevű távoli hozzáférést biztosító trójai programot telepít.

A támadást a JFrog Security Research azonosította és 2026. március 8. és 9. között hozta nyilvánosságra. A cég jelentése szerint a csomag március elején jelent meg az npm-nyilvántartásban, és március 9-ig körülbelül 178 alkalommal töltötték le. A nyilvánosságra hozatal ellenére a csomag a jelentés időpontjában továbbra is elérhető volt az npm-en.

Első ránézésre a szoftver ártalmatlannak tűnik. A csomag neve hasonlít a hivatalos Openclaw eszközök nevére, és átlagosnak tűnő Javascript fájlokat és dokumentációt tartalmaz. A kutatók szerint a látható komponensek ártalmatlannak tűnnek, míg a rosszindulatú viselkedés a telepítési folyamat során aktiválódik.

Amikor valaki telepíti a csomagot, a rejtett szkriptek automatikusan aktiválódnak. Ezek a szkriptek egy legitim parancssori telepítő illúzióját keltik, és a valódi szoftver telepítési rutinját utánozó haladási jelzőket és rendszerüzeneteket jelenítnek meg.

A telepítési folyamat során a program egy hamis rendszerengedélyezési ablakot jelenít meg, amelyben a felhasználó számítógépének jelszavát kéri. Az ablak azt állítja, hogy a kérés az Openclaw hitelesítő adatainak biztonságos konfigurálásához szükséges. Ha a jelszót megadják, a kártevő program magasabb szintű hozzáférést kap az érzékeny rendszeradatokhoz.

A háttérben a telepítő egy titkosított hasznos adatot tölt le egy távoli parancs- és vezérlő szerverről, amelyet a támadók irányítanak. A titkosítás feloldása és a végrehajtás után ez a hasznos adat telepíti a Ghostloader távoli hozzáférést biztosító trójai programot.

A kutatók szerint a Ghostloader rutinszerű szoftver szolgáltatásnak álcázva tartósan megtelepszik a rendszeren. A kártevő program ezután rendszeresen kapcsolatba lép a parancs- és vezérlő infrastruktúrájával, hogy utasításokat kapjon a támadótól.

A trójai programot úgy tervezték, hogy széles körű érzékeny információkat gyűjtsön. A JFrog elemzése szerint a program jelszóadatbázisokat, böngésző cookie-kat, mentett hitelesítő adatokat és rendszerhitelesítési tárolókat céloz meg, amelyek hozzáférést biztosíthatnak felhőalapú platformokhoz, fejlesztői fiókokhoz és e-mail szolgáltatásokhoz.

A kriptovaluta-felhasználók további kockázatokkal szembesülhetnek. A rosszindulatú program a desktop kriptopénztárcákhoz és a böngésző pénztárca-bővítményekhez kapcsolódó fájlokat keresi, és a helyi mappákat átvizsgálja a seed phrase-ek vagy más pénztárca-helyreállítási információk után.

Az eszköz a vágólap tevékenységét is figyeli, és begyűjtheti az SSH-kulcsokat és a fejlesztői hitelesítő adatokat, amelyeket a mérnökök gyakran használnak a távoli infrastruktúrához való hozzáféréshez. A biztonsági szakértők szerint ez a kombináció különösen vonzó célponttá teszi a fejlesztői rendszereket, mivel azok gyakran rendelkeznek a termelési környezetekhez való hozzáféréshez szükséges hitelesítő adatokkal.

Az adatlopás mellett a Ghostloader távoli hozzáférési képességekkel is rendelkezik, amelyek lehetővé teszik a támadók számára parancsok végrehajtását, fájlok letöltését vagy a hálózati forgalom átirányítását a megfertőzött rendszeren keresztül. A kutatók szerint ezek a funkciók hatékonyan alakítják a fertőzött gépeket a fejlesztői környezetek belsejében lévő támaszpontokká.

A rosszindulatú szoftver továbbá perzisztencia-mechanizmusokat is telepít, így a rendszer újraindítása után automatikusan újra elindul. Ezek a mechanizmusok általában rejtett könyvtárakat és a rendszer indítási konfigurációjának módosításait foglalják magukban.

A JFrog kutatói több, a kampánnyal kapcsolatos jelzőt azonosítottak, köztük gyanús rendszerfájlokat, amelyek egy „npm telemetry” szolgáltatáshoz kapcsolódnak, valamint a támadók által ellenőrzött infrastruktúrához való kapcsolatokat.

A kiberbiztonsági elemzők szerint az incidens a fejlesztői ökoszisztémákat célzó ellátási lánc-támadások növekvő tendenciáját tükrözi. Az AI-keretrendszerek és az automatizálási eszközök népszerűségének növekedésével a támadók egyre gyakrabban álcázzák a rosszindulatú szoftvereket hasznos fejlesztői segédprogramokként.

A csomagot telepítő fejlesztőknek javasoljuk, hogy azonnal távolítsák el azt, ellenőrizzék a rendszer indítási konfigurációját, töröljék a gyanús telemetriai könyvtárakat, és cseréljék le az érintett gépen tárolt jelszavakat és hitelesítő adatokat.

A biztonsági szakértők azt is javasolják, hogy csak ellenőrzött forrásokból telepítsenek fejlesztői eszközöket, a globális telepítés előtt gondosan vizsgálják meg az npm csomagokat, és szállítási lánc-ellenőrző eszközöket használjanak a gyanús függőségek felderítésére.

Maga az Openclaw projekt nem került veszélybe, és a kutatók hangsúlyozzák, hogy a támadás nem a hivatalos szoftver kihasználásán, hanem a keretrendszer megtévesztő csomagnévvel történő utánzására épül.

GYIK 🔎

• Mi az a rosszindulatú Openclaw npm csomag?
  A csomag OpenClaw telepítőnek álcázza magát, és titokban telepíti a GhostLoader rosszindulatú szoftvert.
• Mit lop el a Ghostloader rosszindulatú program?
  Jelszavakat, böngésző hitelesítő adatokat, kriptovaluta pénztárca adatokat, SSH kulcsokat és felhőszolgáltatások hitelesítő adatait gyűjti össze.
• Kik vannak a legnagyobb veszélyben ettől az npm rosszindulatú program támadástól?
  Bárki, aki telepítette a csomagot, különösen azok, akik AI keretrendszereket vagy kriptovaluta pénztárca eszközöket használnak, jogosultságait veszélybe sodorhatta.
• Mit kell tenni, ha telepítették a csomagot?
  Azonnal távolítsák el, ellenőrizzék a rendszer indítási fájljait, töröljék a gyanús könyvtárakat, és cseréljék le az összes érzékeny hitelesítő adatot.