TechFlow 보도에 따르면, 3월 23일 CryptoNews는 ‘GhostClaw’라는 악성 소프트웨어가 최근 macOS 기반 암호화 지갑을 대상으로 공격을 개시했으며, 주요 공격 대상은 개발자 집단이라고 전했다.
이 악성 소프트웨어는 위조된 OpenClaw CLI 설치 패키지 형태로 npm 레지스트리에 업로드되었으며, 계정명은 openclaw-ai였다. 해당 패키지는 3월 3일에 등록되어 3월 10일에 차단되었으며, 이 기간 동안 총 178명의 개발자가 감염되었다. 설치 후 악성 프로그램은 사용자에게 macOS 비밀번호 입력을 유도하여 시스템 권한을 획득하고, 원격 명령 및 제어(C2) 서버에서 2차 페이로드인 GhostLoader를 다운로드한 후 데이터 탈취 및 원격 접근을 실행한다.
GhostLoader는 Chromium 브라우저, macOS Keychain, 로컬 저장소를 스캔하여 개인 키, 복구 단어(마스터 키), SSH 키, 클라우드 인증 정보 및 AI 플랫폼 API 토큰을 추출하며, 3초마다 클립보드를 모니터링하여 암호화 관련 민감 정보를 포착한다. 탈취된 데이터는 Telegram, GoFile 및 명령 서버를 통해 공격자에게 전송된다.
즐겨찾기 추가
소셜 미디어 공유
