Malware GhostClaw đánh cắp dữ liệu ví mã hóa qua gói npm

Mã độc GhostClaw nhắm vào ví tiền điện tử mã hóa trên macOS, giả dạng công cụ OpenClaw CLI trên npm và đã lây nhiễm 178 nhà phát triển trước khi bị gỡ.

GhostClaw tồn tại trên npm trong 1 tuần và bị gỡ ngày 10/3. Khi nạn nhân chạy lệnh npm install, một script ẩn sẽ cài đặt GhostClaw ở chế độ global, dùng tệp cấu hình làm rối để né phát hiện và bắt đầu đánh cắp dữ liệu ví.

GhostClaw hoạt động như thế nào trên macOS?

GhostClaw được ngụy trang thành OpenClaw CLI tool, kích hoạt khi người dùng chạy npm install và âm thầm cài gói GhostClaw ở chế độ global.

Mã độc tồn tại trong npm registry khoảng 1 tuần, lây nhiễm 178 nhà phát triển trước khi bị gỡ ngày 10/3. Cơ chế né phát hiện dựa trên các tệp cấu hình bị làm rối (obfuscated), giúp script ẩn khó bị nhận diện trong quá trình cài đặt.

Sau khi được kích hoạt, GhostClaw tập trung vào dữ liệu liên quan ví tiền điện tử và giao dịch. Nó quét clipboard theo chu kỳ 3 giây để thu thập dữ liệu nhạy cảm có thể bị người dùng copy/paste trong quá trình quản lý ví hoặc ký giao dịch.

Dữ liệu bị nhắm đến và đường đi của dữ liệu bị đánh cắp

GhostClaw thu thập khóa riêng, mnemonic phrases, khóa công khai, cùng dữ liệu ví tiền điện tử mã hóa; sau đó tải payload giai đoạn 2 để mở rộng phạm vi đánh cắp.

Ở giai đoạn 2, GhostLoader tìm dữ liệu ví tiền điện tử mã hóa trong trình duyệt Chromium, macOS Keychain và bộ nhớ hệ thống. Nó cũng clone browser sessions để truy cập các ví đang đăng nhập, tăng khả năng chiếm quyền trong các phiên hoạt động sẵn.

Ngoài dữ liệu ví, mã độc còn đánh cắp API tokens liên kết tới các nền tảng AI như OpenAI và Anthropic. Dữ liệu bị lấy cắp được gửi ra ngoài qua Telegram, GoFile và các command servers do kẻ tấn công kiểm soát.