Isang mapanirang npm package na nagpapanggap bilang installer para sa Openclaw artificial intelligence (AI) agent framework ang kumakalat ng malware na nagnanakaw ng mga kredensyal, na idinisenyong tahimik na kontrolin ang mga makina ng mga developer.
Pag-atake ng Pagpapanggap na Openclaw Nagnanakaw ng mga Password at Datos ng Crypto Wallet
ISINULAT NI
IBAHAGI
Inilantad ng Mga Security Researcher ang Mapaminsalang Openclaw npm Package
Sinasabi ng mga security researcher na ang package ay bahagi ng isang supply-chain attack na nakatuon sa mga developer na nagtatrabaho gamit ang Openclaw at mga katulad na AI-agent tooling. Kapag na-install, inilulunsad ng package ang isang naka-stage na impeksiyon na sa huli ay nagde-deploy ng remote access trojan na kilala bilang Ghostloader.
Ang pag-atake ay natukoy ng JFrog Security Research at isiniwalat sa pagitan ng Marso 8 at Marso 9, 2026. Ayon sa ulat ng kumpanya, lumitaw ang package sa npm registry noong unang bahagi ng Marso at na-download nang humigit-kumulang 178 beses hanggang Marso 9. Sa kabila ng pagsisiwalat, nanatiling available ang package sa npm sa oras ng pag-uulat.
Sa unang tingin, mukhang walang masama ang software. Gumagamit ang package ng pangalang kahawig ng opisyal na Openclaw tooling at may kasamang mga karaniwang mukhang Javascript file at dokumentasyon. Sinasabi ng mga researcher na mukhang benign ang mga nakikitang bahagi, habang ang mapanirang pag-uugali ay nati-trigger sa mismong proseso ng pag-install.
Kapag may nag-install ng package, awtomatikong nag-a-activate ang mga nakatagong script. Lumilikha ang mga script na ito ng ilusyon ng isang lehitimong command-line installer, na nagpapakita ng mga progress indicator at mga mensahe ng system na idinisenyong gayahin ang totoong routine ng pag-set up ng software.
Sa panahon ng pagkakasunod-sunod ng pag-install, nagpapakita ang program ng pekeng prompt ng awtorisasyon ng system na humihingi ng password ng computer ng user. Sinasabi ng prompt na kinakailangan ang kahilingan upang ligtas na ma-configure ang mga kredensyal para sa Openclaw. Kapag nailagay ang password, nakakakuha ang malware ng mataas na antas ng access sa sensitibong datos ng system.
Sa likod ng mga eksena, kinukuha ng installer ang isang naka-encrypt na payload mula sa isang remote command-and-control server na kontrolado ng mga umaatake. Kapag na-decrypt at naisakatuparan, ini-install ng payload na iyon ang Ghostloader remote access trojan.
Sinasabi ng mga researcher na nagtatatag ang Ghostloader ng persistence sa system habang itinatago ang sarili bilang isang karaniwang software service. Pagkatapos, pana-panahong nakikipag-ugnayan ang malware sa command-and-control infrastructure nito upang tumanggap ng mga tagubilin mula sa umaatake.
Dinisenyo ang trojan upang mangolekta ng malawak na hanay ng sensitibong impormasyon. Ayon sa pagsusuri ng JFrog, tina-target nito ang mga password database, browser cookies, mga naka-save na kredensyal, at mga system authentication store na maaaring naglalaman ng access sa mga cloud platform, developer account, at mga email service.
Maaaring humarap sa dagdag na panganib ang mga gumagamit ng cryptocurrency. Hinahanap ng malware ang mga file na kaugnay ng mga desktop crypto wallet at mga browser wallet extension at ini-scan ang mga lokal na folder para sa mga seed phrase o iba pang impormasyon sa pagbawi ng wallet.
Minomonitor din ng tool ang aktibidad ng clipboard at maaaring magnakaw ng mga SSH key at development credential na karaniwang ginagamit ng mga engineer upang maka-access sa remote infrastructure. Sinasabi ng mga eksperto sa seguridad na ang kumbinasyong ito ay ginagawang partikular na kaakit-akit na target ang mga system ng developer dahil madalas itong nagtataglay ng mga kredensyal para sa mga production environment.
Bukod sa pagnanakaw ng datos, may kasama ring remote access capabilities ang Ghostloader na nagpapahintulot sa mga umaatake na magsagawa ng mga command, kumuha ng mga file, o i-route ang network traffic sa pamamagitan ng nakompromisong system. Sinasabi ng mga researcher na ang mga tampok na ito ay epektibong ginagawang mga foothold ang mga nahawaang makina sa loob ng mga developer environment.
Nag-i-install din ang mapanirang software ng mga persistence mechanism upang awtomatiko itong mag-restart pagkatapos ng mga reboot ng system. Karaniwang kinasasangkutan ng mga mekanismong ito ang mga nakatagong directory at mga pagbabago sa mga configuration ng system startup.
Natukoy ng mga researcher ng JFrog ang ilang indicator na kaugnay ng kampanya, kabilang ang mga kahina-hinalang system file na nakatali sa isang “npm telemetry” service at mga koneksyon sa infrastructure na kontrolado ng mga umaatake.
Sinasabi ng mga cybersecurity analyst na ang insidenteng ito ay sumasalamin sa lumalaking trend ng mga supply-chain attack na tina-target ang mga developer ecosystem. Habang lumalawak ang paggamit ng mga AI framework at automation tool, mas lalong itinatago ng mga umaatake ang malware bilang mga kapaki-pakinabang na utility para sa mga developer.
Pinapayuhan ang mga developer na nag-install ng package na alisin ito kaagad, suriin ang mga configuration ng system startup, burahin ang mga kahina-hinalang telemetry directory, at i-rotate ang mga password at kredensyal na naka-store sa apektadong makina.
Nasdaq, Kraken Bumubuo ng Gateway na Nag-uugnay sa Mga Tokenized na Equities sa Mga Blockchain Network
Ang mga tokenized na equities ay papalapit na sa pangunahing pananalapi habang nagsasanib-puwersa ang Nasdaq at Payward upang bumuo ng isang gateway na mag-uugnay sa mga reguladong pamilihan ng stock sa mga bukas na pamilihan. read more.
Basahin ngayon
Nasdaq, Kraken Bumubuo ng Gateway na Nag-uugnay sa Mga Tokenized na Equities sa Mga Blockchain Network
Ang mga tokenized na equities ay papalapit na sa pangunahing pananalapi habang nagsasanib-puwersa ang Nasdaq at Payward upang bumuo ng isang gateway na mag-uugnay sa mga reguladong pamilihan ng stock sa mga bukas na pamilihan. read more.
Basahin ngayonNasdaq, Kraken Bumubuo ng Gateway na Nag-uugnay sa Mga Tokenized na Equities sa Mga Blockchain Network
Basahin ngayonAng mga tokenized na equities ay papalapit na sa pangunahing pananalapi habang nagsasanib-puwersa ang Nasdaq at Payward upang bumuo ng isang gateway na mag-uugnay sa mga reguladong pamilihan ng stock sa mga bukas na pamilihan. read more.
Inirerekomenda rin ng mga eksperto sa seguridad ang pag-install ng mga tool para sa developer mula lamang sa mga beripikadong pinagmulan, masusing pagrepaso sa mga npm package bago ang global installation, at paggamit ng mga supply-chain scanning tool upang matukoy ang mga kahina-hinalang dependency.
Hindi mismo nakompromiso ang Openclaw project, at binibigyang-diin ng mga researcher na umaasa ang pag-atake sa pagpapanggap sa framework sa pamamagitan ng mapanlinlang na pangalan ng package sa halip na pagsamantala sa opisyal na software.
FAQ 🔎
- Ano ang mapaminsalang Openclaw npm package?
Nagpapanggap ang package bilang OpenClaw installer at palihim na nag-i-install ng GhostLoader malware. - Ano ang ninanakaw ng Ghostloader malware?
Kinokolekta nito ang mga password, browser credential, datos ng crypto wallet, mga SSH key, at mga kredensyal ng cloud service. - Sino ang pinaka-nanganganib sa npm malware attack na ito?
Sinumang nag-install ng package, lalo na ang mga gumagamit ng AI framework o mga tool ng crypto wallet, ay maaaring may na-expose na mga kredensyal. - Ano ang dapat gawin ng mga tao kung na-install nila ang package?
Agad itong alisin, suriin ang mga system startup file, burahin ang mga kahina-hinalang directory, at i-rotate ang lahat ng sensitibong kredensyal.
