Serangan Penyamarannya Openclaw Mencuri Kata Laluan dan Data Dompet Kripto

Penyelidik Keselamatan Dedahkan Pakej npm Openclaw Berniat Jahat

Penyelidik keselamatan mengatakan pakej itu adalah sebahagian daripada serangan rantaian bekalan yang menyasarkan pembangun yang bekerja dengan Openclaw dan perkakasan alat ejen AI yang serupa. Setelah dipasang, pakej itu melancarkan jangkitan berperingkat yang akhirnya mengerahkan trojan akses jauh yang dikenali sebagai Ghostloader.

Serangan itu telah dikenal pasti oleh JFrog Security Research dan didedahkan antara 8 Mac dan 9 Mac 2026. Menurut laporan firma tersebut, pakej itu muncul di pendaftaran npm pada awal Mac dan telah dimuat turun kira-kira 178 kali setakat 9 Mac. Walaupun pendedahan dibuat, pakej itu kekal tersedia di npm pada masa pelaporan.

Pada pandangan pertama, perisian ini kelihatan tidak berbahaya. Pakej itu menggunakan nama yang menyerupai perkakasan alat rasmi Openclaw dan merangkumi fail Javascript serta dokumentasi yang kelihatan biasa. Penyelidik mengatakan komponen yang kelihatan tampak jinak, manakala tingkah laku berniat jahat dicetuskan semasa proses pemasangan.

Apabila sesiapa memasang pakej itu, skrip tersembunyi akan diaktifkan secara automatik. Skrip ini mencipta ilusi pemasang baris perintah yang sah, memaparkan penunjuk kemajuan dan mesej sistem yang direka untuk meniru rutin persediaan perisian sebenar.

Semasa urutan pemasangan, program memaparkan gesaan kebenaran sistem palsu yang meminta kata laluan komputer pengguna. Gesaan itu mendakwa permintaan tersebut diperlukan untuk mengkonfigurasi kelayakan bagi Openclaw secara selamat. Jika kata laluan dimasukkan, perisian hasad memperoleh akses bertahap tinggi kepada data sistem sensitif.

Di sebalik tabir, pemasang mendapatkan muatan yang disulitkan daripada pelayan arahan-dan-kawalan jauh yang dikendalikan oleh penyerang. Setelah dinyahsulit dan dilaksanakan, muatan itu memasang trojan akses jauh Ghostloader.

Penyelidik mengatakan Ghostloader mewujudkan kebertahanan pada sistem sambil menyamar sebagai perkhidmatan perisian rutin. Perisian hasad itu kemudian menghubungi infrastruktur arahan-dan-kawalan secara berkala untuk menerima arahan daripada penyerang.

Trojan ini direka untuk mengumpul pelbagai maklumat sensitif. Menurut analisis JFrog, ia menyasarkan pangkalan data kata laluan, kuki pelayar, kelayakan tersimpan, dan stor pengesahan sistem yang mungkin mengandungi akses kepada platform awan, akaun pembangun, dan perkhidmatan e-mel.

Pengguna mata wang kripto mungkin berdepan risiko tambahan. Perisian hasad itu mencari fail yang berkaitan dengan dompet kripto desktop dan sambungan dompet pelayar serta mengimbas folder tempatan untuk frasa benih atau maklumat pemulihan dompet yang lain.

Alat ini juga memantau aktiviti papan klip dan boleh menuai kunci SSH serta kelayakan pembangunan yang lazim digunakan oleh jurutera untuk mengakses infrastruktur jauh. Pakar keselamatan mengatakan gabungan ini menjadikan sistem pembangun sasaran yang sangat menarik kerana ia sering menyimpan kelayakan ke persekitaran pengeluaran.

Selain pencurian data, Ghostloader turut merangkumi keupayaan akses jauh yang membolehkan penyerang melaksanakan arahan, mendapatkan fail, atau menghala trafik rangkaian melalui sistem yang terkompromi. Penyelidik mengatakan ciri-ciri ini secara efektif menjadikan mesin yang dijangkiti sebagai tapak pijakan di dalam persekitaran pembangun.

Perisian berniat jahat itu juga memasang mekanisme kebertahanan supaya ia dimulakan semula secara automatik selepas sistem but semula. Mekanisme ini lazimnya melibatkan direktori tersembunyi dan pengubahsuaian pada konfigurasi permulaan sistem.

Penyelidik JFrog mengenal pasti beberapa penunjuk yang dikaitkan dengan kempen tersebut, termasuk fail sistem mencurigakan yang terikat kepada perkhidmatan “npm telemetry” dan sambungan kepada infrastruktur yang dikawal oleh penyerang.

Penganalisis keselamatan siber mengatakan insiden ini mencerminkan trend serangan rantaian bekalan yang semakin meningkat yang menyasarkan ekosistem pembangun. Apabila rangka kerja AI dan alat automasi semakin mendapat tempat, penyerang semakin kerap menyamarkan perisian hasad sebagai utiliti pembangun yang berguna.

Pembangun yang memasang pakej tersebut dinasihatkan untuk membuangnya serta-merta, menyemak konfigurasi permulaan sistem, memadam direktori telemetri yang mencurigakan, dan menukar kata laluan serta kelayakan yang disimpan pada mesin terjejas.

Pakar keselamatan juga mengesyorkan memasang alat pembangun hanya daripada sumber yang disahkan, meneliti pakej npm dengan teliti sebelum pemasangan global, dan menggunakan alat pengimbasan rantaian bekalan untuk mengesan kebergantungan yang mencurigakan.

Projek Openclaw itu sendiri tidak terkompromi, dan penyelidik menekankan bahawa serangan ini bergantung pada penyamaran rangka kerja melalui nama pakej yang mengelirukan, bukannya mengeksploitasi perisian rasmi.

Soalan Lazim 🔎

• Apakah pakej npm Openclaw yang berniat jahat?
  Pakej ini menyamar sebagai pemasang OpenClaw dan secara senyap memasang perisian hasad GhostLoader.
• Apa yang dicuri oleh perisian hasad Ghostloader?
  Ia mengumpul kata laluan, kelayakan pelayar, data dompet kripto, kunci SSH, dan kelayakan perkhidmatan awan.
• Siapakah yang paling berisiko daripada serangan perisian hasad npm ini?
  Sesiapa yang memasang pakej tersebut, terutamanya mereka yang menggunakan rangka kerja AI atau alat dompet kripto, mungkin telah mendedahkan kelayakan.
• Apakah yang perlu dilakukan jika mereka telah memasang pakej tersebut?
  Buang serta-merta, semak fail permulaan sistem, padam direktori yang mencurigakan, dan tukar semua kelayakan sensitif.