3월 23일 테크 플로우 (techflowpost) 의 보도에 따르면, 고스트클로(GhostClaw)라는 악성코드가 최근 macOS용 암호화 지갑을 공격하기 시작했으며, 주로 개발자 커뮤니티를 표적으로 삼고 있습니다.
해당 악성코드는 openclaw-ai 라는 계정 이름으로 가짜 OpenClaw CLI 설치 프로그램 형태로 npm 레지스트리에 업로드되었습니다. 3월 3일에 배포되어 3월 10일에 철수 되었으며, 배포 기간 동안 178명의 개발자를 감염시켰습니다. 설치 후, 악성코드는 사용자가 macOS 암호를 입력하도록 유도하여 시스템 권한을 획득한 다음, 원격 명령 및 제어(C2) 서버에서 2단계 페이로드인 GhostLoader를 다운로드하여 데이터를 탈취하고 원격 접근 권한을 획득했습니다.
GhostLoader는 Chromium 브라우저, macOS 키체인 및 로컬 저장소를 스캔하여 개인 키, 니모닉 단어 , SSH 키, 클라우드 자격 증명 및 AI 플랫폼 API 토큰을 클레임 수 있습니다. 또한 3초마다 클립보드를 모니터링하여 암호화된 민감한 데이터를 캡처합니다. 탈취된 데이터는 Telegram, GoFile 및 명령 서버를 통해 공격자에게 전송됩니다.
