Theo một báo cáo của TechFlow vào ngày 23 tháng 3, một loại phần mềm độc hại có tên GhostClaw gần đây đã tiến hành các cuộc tấn công vào ví crypto trên macOS, chủ yếu nhắm vào cộng đồng nhà phát triển.
Phần mềm độc hại này được tải lên kho lưu trữ npm dưới dạng trình cài đặt CLI OpenClaw ngụy tạo với tên tài khoản openclaw-ai . Nó ra mắt vào ngày 3 tháng 3 và bị hủy niêm yết vào ngày 10 tháng 3, lây nhiễm cho 178 nhà phát triển trong suốt thời gian tồn tại. Sau khi cài đặt, phần mềm độc hại giành được quyền truy cập hệ thống bằng cách lừa người dùng nhập mật khẩu macOS của họ, sau đó tải xuống phần mềm độc hại giai đoạn hai GhostLoader từ máy chủ điều khiển từ xa (C2) để đánh cắp dữ liệu và giành quyền truy cập từ xa.
GhostLoader có thể quét trình duyệt Chromium, macOS Keychain và bộ nhớ cục bộ rút private key, Cụm từ hạt giống , khóa SSH, thông tin đăng nhập đám mây và mã thông báo API nền tảng AI. Nó cũng giám sát clipboard mỗi 3 giây để thu thập dữ liệu nhạy cảm crypto . Dữ liệu bị đánh cắp được truyền đến kẻ tấn công thông qua Telegram, GoFile và máy chủ điều khiển.
