Atacul de impersonare Openclaw fură parole și date din portofelele criptografice

Cercetătorii în domeniul securității expun pachetul npm Openclaw rău intenționat

Cercetătorii în domeniul securității afirmă că pachetul face parte dintr-un atac asupra lanțului de aprovizionare care vizează dezvoltatorii care lucrează cu Openclaw și instrumente similare de agenți AI. Odată instalat, pachetul lansează o infecție etapizată care, în final, implementează un troian de acces la distanță cunoscut sub numele de Ghostloader.

Atacul a fost identificat de JFrog Security Research și dezvăluit între 8 și 9 martie 2026. Conform raportului firmei, pachetul a apărut în registrul npm la începutul lunii martie și a fost descărcat de aproximativ 178 de ori până la data de 9 martie. În ciuda dezvăluirii, pachetul a rămas disponibil pe npm la momentul raportării.

La prima vedere, software-ul pare inofensiv. Pachetul utilizează un nume care seamănă cu instrumentele oficiale Openclaw și include fișiere Javascript și documentație cu aspect obișnuit. Cercetătorii spun că componentele vizibile par inofensive, în timp ce comportamentul rău intenționat este declanșat în timpul procesului de instalare.

Când cineva instalează pachetul, scripturile ascunse se activează automat. Aceste scripturi creează iluzia unui instalator legitim de linie de comandă, afișând indicatori de progres și mesaje de sistem concepute pentru a imita o rutină reală de configurare a software-ului.

În timpul secvenței de instalare, programul prezintă o solicitare falsă de autorizare a sistemului, cerând parola computerului utilizatorului. Solicitarea pretinde că este necesară pentru a configura în siguranță datele de autentificare pentru Openclaw. Dacă parola este introdusă, malware-ul obține acces ridicat la datele sensibile ale sistemului.

În culise, programul de instalare recuperează o sarcină utilă criptată de pe un server de comandă și control la distanță controlat de atacatori. Odată decriptată și executată, acea sarcină utilă instalează troianul de acces la distanță Ghostloader.

Cercetătorii spun că Ghostloader se instalează permanent în sistem, deghizându-se într-un serviciu software de rutină. Malware-ul contactează apoi periodic infrastructura sa de comandă și control pentru a primi instrucțiuni de la atacator.

Troianul este conceput pentru a colecta o gamă largă de informații sensibile. Conform analizei JFrog, acesta vizează bazele de date cu parole, cookie-urile browserului, datele de autentificare salvate și magazinele de autentificare ale sistemului care pot conține acces la platforme cloud, conturi de dezvoltatori și servicii de e-mail.

Utilizatorii de criptomonede pot fi expuși unui risc suplimentar. Malware-ul caută fișiere asociate cu portofele criptografice desktop și extensii de portofel pentru browser și scanează folderele locale în căutarea frazelor seed sau a altor informații de recuperare a portofelului.

Instrumentul monitorizează, de asemenea, activitatea clipboard-ului și poate colecta chei SSH și acreditări de dezvoltare utilizate în mod obișnuit de ingineri pentru a accesa infrastructura la distanță. Experții în securitate spun că această combinație face ca sistemele dezvoltatorilor să fie ținte deosebit de atractive, deoarece acestea dețin adesea acreditări pentru mediile de producție.

În plus față de furtul de date, Ghostloader include capacități de acces la distanță care permit atacatorilor să execute comenzi, să recupereze fișiere sau să redirecționeze traficul de rețea prin sistemul compromis. Cercetătorii spun că aceste caracteristici transformă efectiv mașinile infectate în puncte de sprijin în mediile dezvoltatorilor.

Software-ul rău intenționat instalează, de asemenea, mecanisme de persistență, astfel încât să repornească automat după repornirea sistemului. Aceste mecanisme implică de obicei directoare ascunse și modificări ale configurațiilor de pornire a sistemului.

Cercetătorii JFrog au identificat mai mulți indicatori asociați cu campania, inclusiv fișiere de sistem suspecte legate de un serviciu „npm telemetry” și conexiuni la infrastructura controlată de atacatori.

Analiștii de securitate cibernetică spun că incidentul reflectă o tendință crescândă de atacuri asupra lanțului de aprovizionare care vizează ecosistemele de dezvoltatori. Pe măsură ce cadrele de lucru AI și instrumentele de automatizare câștigă teren, atacatorii deghizează din ce în ce mai mult malware-ul în utilitare utile pentru dezvoltatori.

Dezvoltatorii care au instalat pachetul sunt sfătuiți să îl elimine imediat, să revizuiască configurațiile de pornire ale sistemului, să șteargă directoarele de telemetrie suspecte și să schimbe parolele și datele de autentificare stocate pe mașina afectată.

Experții în securitate recomandă, de asemenea, instalarea instrumentelor pentru dezvoltatori numai din surse verificate, verificarea atentă a pachetelor npm înainte de instalarea globală și utilizarea instrumentelor de scanare a lanțului de aprovizionare pentru a detecta dependențele suspecte.

Proiectul Openclaw în sine nu a fost compromis, iar cercetătorii subliniază că atacul se bazează pe impersonarea cadrului prin intermediul unui nume de pachet înșelător, rather than exploiting the official software.

Întrebări frecvente 🔎

• Ce este pachetul npm Openclaw rău intenționat?
  Pachetul se prezintă ca un instalator OpenClaw și instalează în secret malware-ul GhostLoader.
• Ce fură malware-ul Ghostloader?
  Colectează parole, date de autentificare pentru browser, date din portofele criptografice, chei SSH și date de autentificare pentru servicii cloud.
• Cine este cel mai expus riscului acestui atac malware npm?
  Oricine a instalat pachetul, în special cei care utilizează framework-uri AI sau instrumente de portofel criptografic, ar putea avea datele de autentificare expuse.
• Ce ar trebui să facă persoanele care au instalat pachetul?
  Să îl elimine imediat, să verifice fișierele de pornire ale sistemului, să șteargă directoarele suspecte și să schimbe toate datele de autentificare sensibile.