Serangan Peniruan Identitas Openclaw Mencuri Kata Sandi dan Data Dompet Kripto

Peneliti Keamanan Ungkap Paket npm Openclaw Berbahaya

Peneliti keamanan menyatakan bahwa paket tersebut merupakan bagian dari serangan rantai pasokan yang menargetkan pengembang yang bekerja dengan Openclaw dan alat AI-agent serupa. Setelah diinstal, paket tersebut meluncurkan infeksi bertahap yang pada akhirnya menginstal trojan akses jarak jauh yang dikenal sebagai Ghostloader.

Serangan ini diidentifikasi oleh JFrog Security Research dan diungkapkan antara 8 dan 9 Maret 2026. Menurut laporan perusahaan, paket tersebut muncul di registri npm pada awal Maret dan telah diunduh sekitar 178 kali hingga 9 Maret. Meskipun telah diungkapkan, paket tersebut tetap tersedia di npm pada saat laporan ini dibuat.

Pada pandangan pertama, perangkat lunak tersebut tampak tidak berbahaya. Paket tersebut menggunakan nama yang mirip dengan alat resmi Openclaw dan mencakup berkas JavaScript dan dokumentasi yang tampak biasa. Para peneliti mengatakan bahwa komponen yang terlihat tampak tidak berbahaya, sementara perilaku berbahaya diaktifkan selama proses instalasi.

Saat seseorang menginstal paket tersebut, skrip tersembunyi aktif secara otomatis. Skrip-skrip ini menciptakan ilusi installer baris perintah yang sah, menampilkan indikator kemajuan dan pesan sistem yang dirancang untuk meniru rutinitas penginstalan perangkat lunak yang sebenarnya.

Selama proses instalasi, program menampilkan prompt otorisasi sistem palsu yang meminta kata sandi komputer pengguna. Prompt tersebut mengklaim bahwa permintaan tersebut diperlukan untuk mengonfigurasi kredensial Openclaw secara aman. Jika kata sandi dimasukkan, malware memperoleh akses tingkat tinggi ke data sistem sensitif.

Di balik layar, penginstal mengambil payload terenkripsi dari server komando dan kontrol jarak jauh yang dikendalikan oleh penyerang. Setelah didekripsi dan dieksekusi, payload tersebut menginstal trojan akses jarak jauh Ghostloader.

Peneliti mengatakan Ghostloader membangun persisten di sistem sambil menyamar sebagai layanan perangkat lunak rutin. Malware tersebut kemudian secara berkala menghubungi infrastruktur perintah dan kontrolnya untuk menerima instruksi dari penyerang.

Trojan ini dirancang untuk mengumpulkan berbagai informasi sensitif. Menurut analisis JFrog, malware ini menargetkan basis data kata sandi, cookie browser, kredensial yang disimpan, dan penyimpanan otentikasi sistem yang mungkin berisi akses ke platform cloud, akun pengembang, dan layanan email.

Pengguna cryptocurrency mungkin menghadapi risiko tambahan. Malware ini mencari file yang terkait dengan dompet kripto desktop dan ekstensi dompet browser, serta memindai folder lokal untuk frasa benih atau informasi pemulihan dompet lainnya.

Alat ini juga memantau aktivitas clipboard dan dapat mengumpulkan kunci SSH serta kredensial pengembangan yang sering digunakan oleh insinyur untuk mengakses infrastruktur jarak jauh. Ahli keamanan mengatakan kombinasi ini membuat sistem pengembang menjadi target yang sangat menarik karena sering menyimpan kredensial untuk lingkungan produksi.

Selain pencurian data, Ghostloader dilengkapi dengan kemampuan akses jarak jauh yang memungkinkan penyerang menjalankan perintah, mengambil file, atau mengalihkan lalu lintas jaringan melalui sistem yang terinfeksi. Peneliti mengatakan fitur-fitur ini secara efektif mengubah mesin yang terinfeksi menjadi pijakan di lingkungan pengembang.

Perangkat lunak berbahaya ini juga menginstal mekanisme persisten sehingga dapat restart secara otomatis setelah sistem reboot. Mekanisme ini biasanya melibatkan direktori tersembunyi dan modifikasi konfigurasi startup sistem.

Peneliti JFrog mengidentifikasi beberapa indikator terkait kampanye ini, termasuk file sistem mencurigakan yang terkait dengan layanan "npm telemetry" dan koneksi ke infrastruktur yang dikendalikan oleh penyerang.

Analis keamanan siber mengatakan insiden ini mencerminkan tren meningkatnya serangan rantai pasokan yang menargetkan ekosistem pengembang. Seiring dengan meningkatnya popularitas kerangka kerja AI dan alat otomatisasi, penyerang semakin menyamarkan malware sebagai utilitas pengembang yang berguna.

Pengembang yang menginstal paket tersebut disarankan untuk menghapusnya segera, meninjau konfigurasi startup sistem, menghapus direktori telemetri mencurigakan, dan mengganti kata sandi dan kredensial yang disimpan di mesin yang terpengaruh.

Ahli keamanan juga merekomendasikan untuk menginstal alat pengembang hanya dari sumber yang terverifikasi, memeriksa paket npm dengan cermat sebelum instalasi global, dan menggunakan alat pemindaian rantai pasokan untuk mendeteksi ketergantungan yang mencurigakan.

Proyek Openclaw sendiri tidak terpengaruh, dan para peneliti menekankan bahwa serangan ini mengandalkan penyamaran kerangka kerja melalui nama paket yang menipu, bukan memanfaatkan perangkat lunak resmi.

FAQ 🔎

• Apa itu paket npm Openclaw yang berbahaya?
  Paket tersebut menyamar sebagai penginstal OpenClaw dan secara rahasia menginstal malware GhostLoader.
• Apa yang dicuri oleh malware GhostLoader?
  Malware ini mengumpulkan kata sandi, kredensial browser, data dompet kripto, kunci SSH, dan kredensial layanan cloud.
• Siapa yang paling berisiko terkena serangan malware npm ini?
  Siapa pun yang menginstal paket tersebut, terutama mereka yang menggunakan kerangka kerja AI atau alat dompet kripto, mungkin telah mengekspos kredensial mereka.
• Apa yang harus dilakukan jika telah menginstal paket ini?
  Segera hapus paket tersebut, periksa file startup sistem, hapus direktori mencurigakan, dan ganti semua kredensial sensitif.