HackerNews

HackerNews
伪装成 OpenClaw 安装程序的恶意 npm 包部署远程控制木马并窃取 macOS 凭据

伪装成 OpenClaw 安装程序的恶意 npm 包部署远程控制木马并窃取 macOS 凭据

作者: hackernews 日期: 2026-03-10 分类: 恶意代码
给文章评分:

HackerNews 编译,转载请注明出处:

网络安全研究人员发现一款恶意 npm 包,该包伪装成 OpenClaw 安装程序,用于部署远程控制木马(RAT)并从受攻陷主机窃取敏感数据

这款名为 “@openclaw-ai/openclawai” 的包由用户 “openclaw-ai” 于 2026 年 3 月 3 日上传至 npm 仓库,截至目前累计下载量达 178 次,撰写本文时该库仍可被下载。

发现该恶意包的 JFrog 公司表示,其设计目的是窃取系统凭据、浏览器数据、加密货币钱包、SSH 密钥、Apple 钥匙串数据库、iMessage 聊天记录,同时安装具备远程访问能力、SOCKS5 代理和实时浏览器会话克隆功能的持久化远程控制木马

“此次攻击的显著特点在于其广泛的数据收集范围、利用社会工程学窃取受害者系统密码,以及其持久化机制和命令与控制(C2)基础设施的高度复杂性。” 安全研究员 Meitar Palas 指出,“该恶意软件在内部将自身标识为 GhostLoader。”

恶意逻辑通过 postinstall 钩子触发,该钩子会执行命令 npm i -g @openclaw-ai/openclawai 将包重新全局安装。安装完成后,OpenClaw 二进制文件会通过 package.json 文件中的 bin 属性指向 “scripts/setup.js” 文件。

值得注意的是,bin 字段用于定义在包安装过程中应添加到用户 PATH 环境变量的可执行文件,这使得该包成为可全局访问的命令行工具。

“setup.js” 文件作为第一阶段释放器,运行时会显示逼真的伪造命令行界面,搭配动画进度条,营造出正在主机上安装 OpenClaw 的假象。所谓的安装步骤完成后,脚本会弹出伪造的 iCloud 钥匙串授权提示框,要求用户输入系统密码。

与此同时,该脚本从 C2 服务器(trackpipe [.] dev)获取加密的第二阶段 JavaScript 载荷,随后对其解码、写入临时文件,并以分离的子进程形式启动,使其在后台持续运行。该临时文件会在 60 秒后被删除,以掩盖活动痕迹。

JFrog 解释道:“如果 Safari 目录无法访问(无全盘访问权限,FDA),脚本会显示一个 AppleScript 对话框,敦促用户为终端授予全盘访问权限,对话框中包含分步操作说明,还有一个可直接打开系统偏好设置的按钮。这使得第二阶段载荷能够窃取 Apple 备忘录、iMessage 消息、Safari 浏览记录和邮件数据。”

第二阶段 JavaScript 载荷约有 11700 行代码,是一个功能完备的信息窃取程序和远程控制木马框架,具备持久化、数据收集、浏览器解密、C2 通信、SOCKS5 代理和实时浏览器克隆能力。它还能窃取各类数据,包括:

·     macOS 钥匙串(含本地 login.keychain-db 和所有 iCloud 钥匙串数据库)

·     所有基于 Chromium 内核的浏览器凭据、Cookie、信用卡信息和自动填充数据(如谷歌 Chrome、微软 Edge、Brave、Vivaldi、Opera、Yandex、Comet)

·     桌面钱包应用和浏览器扩展数据

·     加密货币钱包助记词

·     SSH 密钥

·     AWS、微软 Azure、谷歌云、Kubernetes、Docker、GitHub 的开发者和云凭据

·     人工智能(AI)代理配置

·     受全盘访问权限(FDA)保护的数据(包括 Apple 备忘录、iMessage 聊天记录、Safari 浏览历史、邮件账户配置、Apple 账户信息)

在最后阶段,收集到的数据会被压缩为 tar.gz 归档文件,并通过多个渠道外发,包括直接发送至 C2 服务器、Telegram Bot API 和 GoFile.io。

此外,该恶意软件会进入持久化守护进程模式,每三秒监控一次剪贴板内容,并传输所有匹配九种预定义模式的数据 —— 这些模式对应私钥、WIF 密钥、SOL 私钥、RSA 私钥、BTC 地址、以太坊地址、AWS 密钥、OpenAI 密钥和 Strike 密钥。

其他功能包括:监控运行中的进程、实时扫描传入的 iMessage 聊天内容、执行 C2 服务器下发的命令(运行任意 shell 命令、在受害者默认浏览器中打开 URL、下载额外载荷、上传文件、启动 / 停止 SOCKS5 代理、列出可用浏览器、克隆浏览器配置文件并以无头模式启动、停止浏览器克隆、自毁、自我更新)。

浏览器克隆功能尤为危险:它会启动一个无头 Chromium 实例,并加载包含 Cookie、登录信息和历史记录的现有浏览器配置文件。这使得攻击者无需获取凭据即可获得完全认证的浏览器会话。

JFrog 表示:“@openclaw-ai/openclawai 包将社会工程学、加密载荷传输、广泛的数据收集和持久化远程控制木马整合到单个 npm 包中。”

“制作精良的伪造 CLI 安装程序和钥匙串提示框足以从谨慎的开发者手中骗取系统密码,而一旦获取这些凭据,就能解锁 macOS 钥匙串解密和浏览器凭据提取功能 —— 这些操作原本会被操作系统级别的保护机制阻止。”

 

消息来源:thehackernews.com

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文