大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



文章总结： 研究人员发现恶意npm包@openclaw-ai/openclawai伪装成OpenClaw安装程序，部署GhostLoaderRAT木马。该恶意软件通过伪造CLI界面诱骗用户输入系统密码，窃取macOS钥匙串、浏览器凭据、加密钱包、SSH密钥等敏感数据，具备持久化驻留、剪贴板监控和浏览器会话克隆功能。建议开发者核实npm包来源并谨慎安装可疑软件包。 综合评分： 76 文章分类： 恶意软件,漏洞预警,供应链安全,数据安全

---

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月10日 09:01 湖北

导读

网络安全研究人员发现一个恶意 npm 包，该包伪装成OpenClaw安装程序，用于部署远程访问木马 (RAT) 并从受感染的主机窃取敏感数据。

名为“ @openclaw-ai/openclawai ”的软件包由名为“openclaw-ai”的用户于2026年3月3日上传至注册表。截至目前，该软件包已被下载178次。

发现该软件包的 JFrog 表示，该软件包旨在窃取系统凭证、浏览器数据、加密钱包、SSH 密钥、Apple Keychain 数据库和 iMessage 历史记录，并安装具有远程访问功能、SOCKS5 代理和实时浏览器会话克隆的持久性 RAT。

安全研究员梅塔尔·帕拉斯表示： “此次攻击的显著特点在于其广泛的数据收集、利用社会工程手段窃取受害者的系统密码，以及其持久性和C2（命令与控制）基础设施的复杂性。该恶意软件内部自称为GhostLoader。”

恶意逻辑是通过 postinstall hook 触发的，该 hook使用命令“npm i -g @openclaw-ai/openclawai”全局重新安装软件包。安装完成后，OpenClaw 二进制文件通过“package.json”文件中的“bin”属性指向“scripts/setup.js”。

值得注意的是，“ bin ”字段用于定义在软件包安装期间应添加到用户PATH环境变量中的可执行文件。这反过来又将软件包变成一个全局可访问的命令行工具。

“setup.js”文件作为第一阶段的投放器，运行时会显示一个逼真的伪命令行界面，带有动画进度条，使用户误以为OpenClaw正在主机上安装。在所谓的安装步骤完成后，脚本会显示一个虚假的iCloud钥匙串授权提示，要求用户输入系统密码。

与此同时，脚本从C2服务器（“trackpipe[.]dev”）获取加密的第二阶段JavaScript有效载荷，然后对其进行解码，写入临时文件，并启动一个分离的子进程在后台继续运行。该临时文件会在60秒后删除，以掩盖活动痕迹。

JFrog解释说：“如果Safari目录无法访问（没有完全磁盘访问权限），脚本会显示一个AppleScript对话框，提示用户授予终端完全磁盘访问权限，并提供分步说明和一个可直接打开系统偏好设置的按钮。这样，第二阶段的有效载荷就能窃取Apple备忘录、iMessage、Safari历史记录和邮件数据。”

JavaScript 第二阶段包含约 11,700 行代码，是一个功能齐全的信息窃取器和远程访问木马 (RAT) 框架，能够实现持久化、数据收集、浏览器解密、C2 通信、SOCKS5 代理和实时浏览器克隆。它还能够窃取各种类型的数据。

• macOS 钥匙串，包括本地 login.keychain-db 和所有 iCloud 钥匙串数据库
• 来自所有基于 Chromium 内核的浏览器（例如 Google Chrome、Microsoft Edge、Brave、Vivaldi、Opera、Yandex 和 Comet）的凭据、Cookie、信用卡和自动填充数据。
• 来自桌面钱包应用程序和浏览器扩展程序的数据
• 加密货币钱包助记词
• SSH密钥
• 适用于 AWS、Microsoft Azure、Google Cloud、Kubernetes、Docker 和 GitHub 的开发者和云凭证
• 人工智能（AI）代理配置，以及
• Apple Notes、iMessage 历史记录、Safari 浏览历史记录、邮件帐户配置和 Apple 帐户信息。

在最后阶段，收集到的数据被压缩成 tar.gz 归档文件，并通过多种渠道泄露，包括直接发送到 C2 服务器、Telegram Bot API 和 GoFile.io。

此外，该恶意软件会进入持久守护进程模式，使其能够每三秒监控剪贴板内容，并传输与九种预定义模式之一匹配的任何数据，这些模式分别对应于私钥、WIF 密钥、SOL 私钥、RSA 私钥、BTC 地址、以太坊地址、AWS 密钥、OpenAI 密钥和 Strike 密钥。

其他功能包括跟踪正在运行的进程、实时扫描传入的 iMessage 聊天记录、执行从 C2 服务器发送的命令来运行任意 shell 命令、在受害者的默认浏览器上打开 URL、下载其他有效载荷、上传文件、启动/停止 SOCKS5 代理、列出可用浏览器、克隆浏览器配置文件并以无头模式启动、停止浏览器克隆、自毁以及自我更新。

浏览器克隆功能尤其危险，因为它会启动一个无头 Chromium 实例，并使用包含 cookie、登录信息和历史记录的现有浏览器配置文件。这使得攻击者无需获取凭据即可获得完全经过身份验证的浏览器会话。

JFrog 表示：“@openclaw-ai/openclawai 软件包将社会工程、加密有效载荷传递、广泛数据收集和持久性 RAT 集成到一个 npm 软件包中。”

精心设计的伪造 CLI 安装程序和钥匙串提示足以以假乱真，从谨慎的开发者那里骗取系统密码。一旦这些凭据被获取，就可以解锁 macOS 钥匙串解密和浏览器凭据提取功能，而这些功能原本会**作系统级别的保护措施所阻止。

新闻链接：

https://thehackernews.com/2026/03/malicious-npm-package-posing-as.html

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗

 会杀毒的单反狗《恶意软件伪装“龙虾”（OpenClaw）安装包，部署远程访问木马 (RAT)，窃取 macOS 凭据》