伪装OpenClaw,恶意GhostClaw大肆洗劫开发者数据
恶意npm包伪装开发者工具近期出现针对软件开发者的高危恶意软件活动一个名为openclaw-ai/openclawai的恶意npm包伪装成可信开发者工具暗中窃取凭证、加密钱包、SSH密钥、浏览器会话乃至iMessage聊天记录。该包自称OpenClaw Installer命令行安装程序实则部署完全在后台运行的深度隐藏感染链。该恶意软件内部自称GhostLoader但整个活动被追踪命名为GhostClaw。精准锁定npm生态开发者该恶意软件专门针对日常工作中使用npm生态系统的开发者。当开发者运行安装命令后该包会通过postinstall钩子静默全局重装自身确保恶意二进制文件进入系统PATH而不引起注意。随后二进制文件指向setup.js——这是启动完整感染链的混淆第一阶段投放器。这种欺骗手段充分显示攻击者如何精心设计GhostClaw使其从一开始就与普通开发工具无异。JFrog安全研究人员在2026年3月8日监控npm注册表可疑行为模式时发现了这个恶意npm包。研究员Meitar Palas详细记录了攻击全貌包括其多阶段有效载荷架构、社会工程机制以及能让攻击者长期隐蔽访问受感染开发者机器的持久远程访问框架。跨平台数据窃取能力GhostClaw最令人担忧的是其窃取数据的广泛性从系统密码、macOS钥匙串数据库到AWS、GCP和Azure配置文件中的云凭证几乎无一幸免还会扫描桌面文件夹寻找BIP-39加密货币种子短语捕获多个基于Chromium浏览器保存的所有密码和信用卡信息并在获得macOS全磁盘访问权限时窃取iMessage历史记录。该攻击不限单一平台GhostClaw可同等针对macOS、Linux和Windows开发者并根据所在操作系统调整凭证验证方法。这种跨平台能力加上精心设计的规避和持久化技术使其成为npm注册表近年来最完整、最危险的开发者定向威胁之一。社会工程攻击核心GhostClaw感染链最突出之处在于如何诱骗开发者主动交出系统密码。开发者运行安装命令后第一阶段投放器setup.js会展示逼真的虚假CLI安装程序包含动态进度条和仿真的系统日志输出。进度显示完成后脚本立即弹出与原生macOS钥匙串授权提示完全相同的对话框要求用户输入管理员密码以完成安全保险库初始化。攻击者允许最多五次密码尝试每次都会通过真实操作系统认证机制验证错误输入会产生看似真实的失败提示。当受害者与对话框交互时脚本会同时从攻击者C2服务器trackpipe[.]dev获取第二阶段有效载荷使用服务器响应中提供的匹配密钥通过AES-256-GCM加密解密。完整解密的约11,700行JavaScript代码构成GhostLoader框架随后将自己安装到伪装成常规npm遥测服务的隐藏目录深处开始静默收集受感染机器上所有可获取的数据。应急处置建议安装该包的开发者应立即删除.npm_telemetry目录检查~/.zshrc、~/.bashrc和~/.bash_profile等shell配置文件是否被注入钩子代码终止所有正在运行的monitor.js进程并完全卸载该包。所有凭证包括系统密码、SSH密钥、AWS/GCP/Azure/OpenAI/Stripe/GitHub的API令牌以及任何暴露的加密钱包种子短语都必须立即轮换。应撤销Google、GitHub等平台上的所有活动浏览器会话以防止未授权访问。鉴于该恶意软件的深度嵌入特性强烈建议对系统进行完整重镜像。

相关新闻

HEU KMS Activator 最新版本 持续更新

HEU KMS Activator 最新版本 持续更新

当前最新版本:v63.3.0 ​ 📥︎ 下载链接: 🔗 迅雷云盘︱🔗 百度网盘︱🔗 UC网盘 ⏩︎ 点此前往更新发布页 获得持续版本更新~

2026/7/4 21:12:26 阅读更多 →
傅里叶与真实图像的关系

傅里叶与真实图像的关系

Fourier Transform 是什么简单理解:任何复杂的信号,都可以分解成很多不同频率的正弦波叠加。空间域 (image) → Fourier Transform → 频率域 (frequency) 图像从:像素值 变成:频率分布频率域包含:Amplitude&#xff0…

2026/5/17 11:54:41 阅读更多 →
用Python编程理解量子力学中的幺正变换(一)

用Python编程理解量子力学中的幺正变换(一)

从线性代数、量子态演化到量子计算 引言:为什么量子力学偏爱“幺正”这个词 如果你是程序员,第一次接触量子力学时,很可能会有一种微妙的不适感。 在普通编程世界里,状态变换太常见了:一个向量乘一个矩阵,一个数组经过某种线性层,状态就变了。只要维度对得上,很多矩…

2026/7/4 5:20:11 阅读更多 →

最新新闻

VisTR完全指南:从安装到推理,30分钟快速掌握视频实例分割神器

VisTR完全指南:从安装到推理,30分钟快速掌握视频实例分割神器

VisTR完全指南:从安装到推理,30分钟快速掌握视频实例分割神器 【免费下载链接】VisTR [CVPR2021 Oral] End-to-End Video Instance Segmentation with Transformers 项目地址: https://gitcode.com/gh_mirrors/vi/VisTR VisTR(End-to-…

2026/7/4 21:11:55 阅读更多 →
CANN/ge LLM-DataDist C++接口列表

CANN/ge LLM-DataDist C++接口列表

# LLM-DataDist-interface-list 【免费下载链接】ge GE(Graph Engine)是面向昇腾的图编译器和执行器,提供了计算图优化、多流并行、内存复用和模型下沉等技术手段,加速模型执行效率,减少模型内存占用。 GE…

2026/7/4 21:09:54 阅读更多 →
电流频率转换模块选型要考虑哪些参数?量程匹配、精度等级与封装形式的综合决策

电流频率转换模块选型要考虑哪些参数?量程匹配、精度等级与封装形式的综合决策

I/F(电流-频率)转换模块的选型直接影响测控系统的整体性能。面对不同的应用场景和技术要求,如何从量程、精度、温度范围、封装形式、输出频率等多个维度做出合理选择,是系统设计师需要解决的问题。本文结合智腾微电子JLHIF160的技…

2026/7/4 21:09:54 阅读更多 →
ThinkPHP 6.0.8反序列化漏洞深度剖析:从POP链原理到实战利用

ThinkPHP 6.0.8反序列化漏洞深度剖析:从POP链原理到实战利用

1. 项目概述:一次对ThinkPHP6.0.8反序列化漏洞的深度剖析最近在复盘一些经典的PHP框架漏洞案例,ThinkPHP6.0.8的反序列化漏洞(CVE-2021-36542)绝对是一个绕不开的经典。这个漏洞的利用链(POP Chain)设计得非…

2026/7/4 21:05:52 阅读更多 →
LiveViewJS生命周期完全解析:从Mount到HandleEvent的完整流程

LiveViewJS生命周期完全解析:从Mount到HandleEvent的完整流程

LiveViewJS生命周期完全解析:从Mount到HandleEvent的完整流程 【免费下载链接】liveviewjs LiveView-based library for reactive app development in NodeJS and Deno 项目地址: https://gitcode.com/gh_mirrors/li/liveviewjs 想要构建实时、响应式的Web应…

2026/7/4 21:05:52 阅读更多 →
天龙八部GM工具:3分钟掌握游戏数据自由编辑的终极方法

天龙八部GM工具:3分钟掌握游戏数据自由编辑的终极方法

天龙八部GM工具:3分钟掌握游戏数据自由编辑的终极方法 【免费下载链接】TlbbGmTool 某网络游戏的单机版本GM工具 项目地址: https://gitcode.com/gh_mirrors/tl/TlbbGmTool 还在为游戏中重复刷怪升级而烦恼?想要快速体验天龙八部单机版的全部内容…

2026/7/4 21:03:51 阅读更多 →

日新闻

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 正式发布,这是一个关键的安全修复版本,修复了多个方面的问题,还对部分功能进行了优化。 安全修复亮点 此次发布在安全修复上表现突出。binprot 避免了项目引用计数溢出,mcmc 因安全问题提升了上游版本号&#xf…

2026/7/4 0:04:29 阅读更多 →
终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案 【免费下载链接】HMCL A Minecraft Launcher which is multi-functional, cross-platform and popular 项目地址: https://gitcode.com/gh_mirrors/hm/HMCL HMCL(Hello Minecraft! Lau…

2026/7/4 0:06:29 阅读更多 →
KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

1. KMX63与PIC18F66K40的硬件协同架构解析KMX63作为一款三轴加速度计和磁力计组合传感器,与PIC18F66K40微控制器的搭配堪称嵌入式HMI开发的黄金组合。这套硬件组合的核心优势在于KMX63提供的高精度运动感知能力与PIC18F66K40强大的信号处理能力形成了完美互补。KMX6…

2026/7/4 0:06:29 阅读更多 →

周新闻

月新闻