TechFlow a rapporté le 23 mars, selon CryptoNews, qu’un logiciel malveillant nommé GhostClaw a récemment ciblé les portefeuilles cryptographiques sur les systèmes macOS, principalement des développeurs.
Ce logiciel malveillant a été publié sous la forme d’un faux paquet d’installation de l’interface en ligne de commande (CLI) OpenClaw sur le registre npm, sous le nom de compte openclaw-ai. Il est apparu le 3 mars et a été retiré le 10 mars, ayant infecté 178 développeurs durant cette période. Une fois installé, le programme malveillant incite l’utilisateur à saisir le mot de passe macOS afin d’obtenir des privilèges système, puis télécharge depuis un serveur de commande et de contrôle (C2) distant une charge utile secondaire appelée GhostLoader, qui permet le vol de données et l’accès à distance.
GhostLoader peut analyser les navigateurs basés sur Chromium, le trousseau macOS (Keychain) et le stockage local afin d’extraire des clés privées, des mnémoniques, des clés SSH, des identifiants cloud et des jetons API de plateformes d’intelligence artificielle. En outre, il surveille le presse-papiers toutes les trois secondes pour intercepter des données sensibles liées aux cryptomonnaies. Les données volées sont ensuite transmises aux attaquants via Telegram, GoFile et le serveur de commande.
