Napad z lažno identiteto Openclaw krade gesla in podatke iz kripto denarnice

Varnostni raziskovalci razkrivajo zlonameren paket Openclaw npm

Varnostni raziskovalci pravijo, da je paket del napada na dobavno verigo, namenjen razvijalcem, ki delajo z Openclaw in podobnimi orodji AI-agent. Po namestitvi paket sproži postopno okužbo, ki na koncu namesti trojanskega konja za oddaljeni dostop, znanega kot Ghostloader.

Napad je odkrilo podjetje JFrog Security Research in ga razkrilo med 8. in 9. marcem 2026. Glede na poročilo podjetja se je paket pojavil v registru npm v začetku marca in je bil do 9. marca prenesen približno 178-krat. Kljub razkritju je paket ob času poročanja ostal na voljo v npm.

Na prvi pogled se zdi, da je programska oprema neškodljiva. Paket uporablja ime, ki spominja na uradno orodje Openclaw, in vključuje navidezno običajne datoteke Javascript in dokumentacijo. Raziskovalci pravijo, da so vidni sestavni deli videti neškodljivi, medtem ko se zlonamerno delovanje sproži med namestitvijo.

Ko kdo namesti paket, se skriti skripti aktivirajo samodejno. Ti skripti ustvarjajo iluzijo legitimnega namestitvenega programa za ukazno vrstico, prikazujejo indikatorje napredka in sistemska sporočila, ki so zasnovana tako, da posnemajo pravo rutino namestitve programske opreme.

Med namestitvijo program prikaže lažno sistemsko pooblastilo, ki od uporabnika zahteva geslo za računalnik. Pooblastilo trdi, da je zahteva potrebna za varno konfiguracijo poverilnic za Openclaw. Če je geslo vneseno, zlonamerna programska oprema pridobi povečan dostop do občutljivih sistemskih podatkov.

V ozadju namestitveni program pridobi šifrirano koristno breme iz oddaljenega strežnika za nadzor in upravljanje, ki ga nadzorujejo napadalci. Ko je šifrirano in izvedeno, to koristno breme namesti trojanskega konja za oddaljeni dostop Ghostloader.

Raziskovalci pravijo, da Ghostloader vzpostavi vztrajnost v sistemu, medtem ko se prikriva kot rutinska programska storitev. Zlonamerna programska oprema nato redno vzpostavlja stik s svojo infrastrukturo za nadzor in upravljanje, da prejme navodila od napadalca.

Trojan je zasnovan za zbiranje širokega spektra občutljivih informacij. Glede na analizo JFrog je usmerjen v baze gesel, piškotke brskalnika, shranjena pooblastila in sistemske shrambe za avtentifikacijo, ki lahko vsebujejo dostop do platform v oblaku, računov razvijalcev in e-poštnih storitev.

Uporabniki kriptovalut so lahko izpostavljeni dodatnemu tveganju. Zlonamerna programska oprema išče datoteke, povezane z namiznimi kriptovalutnimi denarnicami in razširitvami brskalnika za denarnice, ter pregleduje lokalne mape za izhodiščne fraze ali druge informacije za obnovitev denarnice.

Orodje spremlja tudi aktivnost odložišča in lahko zbira SSH ključe in razvojna poverilnica, ki jih inženirji pogosto uporabljajo za dostop do oddaljene infrastrukture. Varnostni strokovnjaki pravijo, da ta kombinacija razvijalske sisteme naredi posebej privlačne tarče, ker pogosto hranijo poverilnice za produkcijska okolja.

Poleg kraje podatkov Ghostloader vključuje tudi funkcije oddaljenega dostopa, ki napadalcem omogočajo izvajanje ukazov, pridobivanje datotek ali usmerjanje omrežnega prometa prek okuženega sistema. Raziskovalci pravijo, da te funkcije okužene računalnike učinkovito spremenijo v oporo v razvojnih okoljih.

Zlonamerna programska oprema namesti tudi mehanizme za vztrajnost, tako da se po ponovnem zagonu sistema samodejno ponovno zažene. Ti mehanizmi običajno vključujejo skrite imenike in spremembe konfiguracij zagona sistema.

Raziskovalci JFrog so identificirali več kazalnikov, povezanih s kampanjo, vključno s sumljivimi sistemskimi datotekami, povezanimi s storitvijo „npm telemetry“, in povezavami z infrastrukturo, ki jo nadzirajo napadalci.

Analitiki za kibernetsko varnost pravijo, da incident odraža naraščajoči trend napadov na dobavno verigo, usmerjenih v razvojna ekosistema. Ker okviri umetne inteligence in orodja za avtomatizacijo pridobivajo na popularnosti, napadalci vedno pogosteje prikrivajo zlonamerno programsko opremo kot koristna razvojna orodja.

Razvijalcem, ki so namestili paket, se svetuje, da ga takoj odstranijo, pregledajo konfiguracije zagona sistema, izbrišejo sumljive imenike telemetrije in zamenjajo gesla in poverilnice, shranjene na prizadetem računalniku.

Varnostni strokovnjaki prav tako priporočajo, da razvojna orodja namestite le iz preverjenih virov, npm pakete pred globalno namestitvijo skrbno pregledate in za odkrivanje sumljivih odvisnosti uporabite orodja za skeniranje dobavne verige.

Projekt Openclaw sam ni bil ogrožen, raziskovalci pa poudarjajo, da napad temelji na ponarejanju okvira z zavajajočim imenom paketa, ne pa na izkoriščanju uradne programske opreme.

Pogosta vprašanja 🔎

• Kaj je zlonameren paket Openclaw npm?
  Paket se izdaja za namestitveni program OpenClaw in skrivaj namesti zlonamerno programsko opremo GhostLoader.
• Kaj ukrade zlonamerna programska oprema Ghostloader?
  Zbira gesla, poverilnice brskalnika, podatke o kriptovalutnih denarnicah, SSH ključe in poverilnice za storitve v oblaku.
• Kdo je najbolj ogrožen zaradi tega napada zlonamerne programske opreme npm?
  Vsakdo, ki je namestil paket, zlasti tisti, ki uporabljajo okvire AI ali orodja za kriptovalutne denarnice, je morda izpostavil svoje poverilnice.
• Kaj naj storijo ljudje, če so namestili paket?
  Takoj ga odstranite, preverite datoteke za zagon sistema, izbrišite sumljive imenike in zamenjajte vse občutljive poverilnice.