Openclaw Kimlik Taklit Saldırısı Şifreleri ve Kripto Cüzdan Verilerini Çalıyor

Güvenlik Araştırmacıları Kötü Amaçlı Openclaw npm Paketini Ortaya Çıkardı

Güvenlik araştırmacıları, paketin Openclaw ve benzer AI aracı araçlarıyla çalışan geliştiricileri hedef alan bir tedarik zinciri saldırısının parçası olduğunu söylüyor. Paket yüklendikten sonra, Ghostloader olarak bilinen bir uzaktan erişim truva atını nihai olarak dağıtan aşamalı bir enfeksiyon başlatır.

Saldırı, JFrog Security Research tarafından tespit edildi ve 8 Mart ile 9 Mart 2026 tarihleri arasında açıklandı. Firmanın raporuna göre, paket Mart ayı başında npm kayıt defterinde göründü ve 9 Mart itibarıyla yaklaşık 178 kez indirildi. Açıklamaya rağmen, paket raporlama sırasında npm'de kullanılabilir durumda kaldı.

İlk bakışta, yazılım zararsız görünüyor. Paket, resmi Openclaw araçlarına benzeyen bir ad kullanıyor ve sıradan görünümlü Javascript dosyaları ve belgeler içeriyor. Araştırmacılar, görünür bileşenlerin zararsız göründüğünü, ancak kötü amaçlı davranışın yükleme işlemi sırasında tetiklendiğini söylüyor.

Paket yüklendiğinde, gizli komut dosyaları otomatik olarak etkinleşiyor. Bu komut dosyaları, gerçek bir yazılım kurulum rutinini taklit etmek için tasarlanmış ilerleme göstergeleri ve sistem mesajları görüntüleyerek, meşru bir komut satırı yükleyicisi izlenimi yaratıyor.

Yükleme sırası sırasında, program kullanıcının bilgisayar şifresini isteyen sahte bir sistem yetkilendirme istemini gösteriyor. İstem, Openclaw için kimlik bilgilerini güvenli bir şekilde yapılandırmak için bu isteğin gerekli olduğunu iddia ediyor. Şifre girildiğinde, kötü amaçlı yazılım hassas sistem verilerine yükseltilmiş erişim elde ediyor.

Arka planda, yükleyici saldırganlar tarafından kontrol edilen uzak bir komut ve kontrol sunucusundan şifrelenmiş bir yük alır. Şifresi çözülüp yürütüldükten sonra, bu yük Ghostloader uzaktan erişim truva atını yükler.

Araştırmacılar, Ghostloader'ın kendisini rutin bir yazılım hizmeti olarak gizleyerek sistemde kalıcılık sağladığını söylüyor. Kötü amaçlı yazılım daha sonra saldırganın talimatlarını almak için komuta ve kontrol altyapısıyla periyodik olarak iletişim kurar.

Truva atı, çok çeşitli hassas bilgileri toplamak için tasarlanmıştır. JFrog'un analizine göre, şifre veritabanlarını, tarayıcı çerezlerini, kaydedilmiş kimlik bilgilerini ve bulut platformlarına, geliştirici hesaplarına ve e-posta hizmetlerine erişim içerebilecek sistem kimlik doğrulama depolarını hedef alır.

Kripto para kullanıcıları ek risklerle karşı karşıya kalabilir. Kötü amaçlı yazılım, masaüstü kripto cüzdanları ve tarayıcı cüzdan uzantıları ile ilişkili dosyaları arar ve yerel klasörleri tohum cümleleri veya diğer cüzdan kurtarma bilgileri için tarar.

Araç ayrıca panonun etkinliğini izler ve mühendislerin uzaktaki altyapıya erişmek için yaygın olarak kullandıkları SSH anahtarlarını ve geliştirme kimlik bilgilerini toplayabilir. Güvenlik uzmanları, bu kombinasyonun geliştirici sistemlerini özellikle çekici hedefler haline getirdiğini, çünkü bu sistemlerin genellikle üretim ortamlarına ait kimlik bilgilerini barındırdığını söylüyor.

Veri hırsızlığının yanı sıra, Ghostloader saldırganların komutları yürütmesine, dosyaları almasına veya ağ trafiğini güvenliği ihlal edilmiş sistem üzerinden yönlendirmesine olanak tanıyan uzaktan erişim özellikleri de içerir. Araştırmacılar, bu özelliklerin virüs bulaşmış makineleri geliştirici ortamlarında etkili birer dayanak noktası haline getirdiğini söylüyor.

Kötü amaçlı yazılım ayrıca, sistem yeniden başlatıldıktan sonra otomatik olarak yeniden başlatılması için kalıcılık mekanizmaları da yükler. Bu mekanizmalar genellikle gizli dizinleri ve sistem başlangıç yapılandırmalarında değişiklikleri içerir.

JFrog araştırmacıları, "npm telemetri" hizmetine bağlı şüpheli sistem dosyaları ve saldırganlar tarafından kontrol edilen altyapıya bağlantılar dahil olmak üzere, kampanyayla ilişkili birkaç gösterge belirledi.

Siber güvenlik analistleri, bu olayın geliştirici ekosistemlerini hedef alan tedarik zinciri saldırılarının artan eğilimini yansıttığını söylüyor. AI çerçeveleri ve otomasyon araçları popülerlik kazandıkça, saldırganlar kötü amaçlı yazılımları yararlı geliştirici yardımcı programları olarak gizleme eğilimini artırıyor.

Paketi yükleyen geliştiricilerin, paketi hemen kaldırmaları, sistem başlangıç yapılandırmalarını gözden geçirmeleri, şüpheli telemetri dizinlerini silmeleri ve etkilenen makinede depolanan şifreleri ve kimlik bilgilerini değiştirmeleri önerilir.

Güvenlik uzmanları ayrıca, geliştirici araçlarını yalnızca doğrulanmış kaynaklardan yüklemeyi, global yüklemeden önce npm paketlerini dikkatlice incelemeyi ve şüpheli bağımlılıkları tespit etmek için tedarik zinciri tarama araçlarını kullanmayı öneriyor.

Openclaw projesinin kendisi tehlikeye girmedi ve araştırmacılar, saldırının resmi yazılımı istismar etmekten ziyade, aldatıcı bir paket adı aracılığıyla çerçeveyi taklit etmeye dayandığını vurguluyor.

SSS 🔎

• Kötü amaçlı Openclaw npm paketi nedir?
  Paket, OpenClaw yükleyicisini taklit eder ve GhostLoader kötü amaçlı yazılımını gizlice yükler.
• Ghostloader kötü amaçlı yazılımı ne çalar?
  Şifreleri, tarayıcı kimlik bilgilerini, kripto cüzdan verilerini, SSH anahtarlarını ve bulut hizmeti kimlik bilgilerini toplar.
• Bu npm kötü amaçlı yazılım saldırısından en çok kimler risk altındadır?
  Paketi yükleyen herkes, özellikle AI çerçeveleri veya kripto cüzdan araçları kullananlar, kimlik bilgilerini açığa çıkarmış olabilir.
• Paketi yüklemiş olanlar ne yapmalıdır?
  Paketi hemen kaldırın, sistem başlangıç dosyalarını kontrol edin, şüpheli dizinleri silin ve tüm hassas kimlik bilgilerini değiştirin.