GhostClawはOpenClawインストーラーパッケージになりすまし、永続的なRATを配置する前にシステム認証情報と機密データを盗む
OpenClawインストーラーになりすまし悪意のあるnpmパッケージが、被害者のマシンにリモートアクセストロイ(RAT)を配置しているのが、JFrogの新しい調査によって明らかになりました。
「@openclaw-ai/openclawai」という名前で公開されたこのパッケージは、正当なCLIツールのインストーラーのふりをしていますが、実際にはシステム認証情報、ブラウザデータ、暗号資産ウォレット、SSHキー、Apple Keychainデータベースを盗む多段階の感染チェーンを実行し、永続性を確立します。
「この攻撃は、その広範なデータ収集、被害者のシステムパスワードを収集するためのソーシャルエンジニアリングの使用、そして永続性とC2インフラストラクチャの洗練さで注目に値します」と、JFrogの研究者はブログ投稿で述べています。
内部的には、マルウェアは自分自身を「GhostLoader」と識別しました。
研究者は、公開されたパッケージには安全に見えるJavaScriptユーティリティと一般的なプロジェクトメタデータが含まれており、悪意のあるロジックを「scripts」ディレクトリに隠していると説明しました。
トリガーはインストール中に発生します。postinstallスクリプトがパッケージをグローバルにインストールし、攻撃者が管理するバイナリがシステムPATHに配置されることを保証します。このバイナリはその後、第1段階のドロッパーとして機能する難読化されたセットアップスクリプトを起動します。実行時に、ドロッパーはアニメーション付きプログレスバーとシステムメッセージを備えた正当なコマンドラインインストーラーのように見えるものを表示します。
しかし、舞台裏では、マルウェアは同時にリモートサーバーから第2段階のペイロードを取得します。
偽りのインストール順序が終了すると、ユーザーはオペレーティングシステムに対して検証される管理者認証情報を提供するよう求められます。最大5回の試行が許可され、「失敗した試行は「認証に失敗しました。もう一度試してください。」と表示され、実際のOS動作を正確に模倣しています」と、研究者は付け加えました。
ユーザーはインストールが正常に完了したと信じている間に、実際のペイロードはバックグラウンドで静かに実行を続けます。
パスワード盗難から永続性へ
第2段階のマルウェア(内部的には「GhostLoader」と呼ばれています)は、情報盗取とリモートアクセスフレームワークの両方を実装する大規模なJavaScriptバンドルです。起動されると、GhostLoaderはnpmテレメトリサービスに変装した隠されたディレクトリにインストールし、マルウェアが停止した場合に自動的に再起動するシェル構成フックを含む永続性メカニズムを設定します。
並行して、マルウェアはシステム全体から機密データを収集し始めます。研究者によると、ペイロードはブラウザの認証情報、保存されたクッキー、SSHキー、暗号資産ウォレット、Apple Keychainデータ、iMessageの履歴やメールレコードなどの個人アプリケーションデータを対象としています。
マルウェアにはRATコンポーネントもあり、リモートオペレーターが感染したマシンを通じてSOCKS5プロキシを使用してトラフィックをルーティングし、アクティブなブラウザセッションをクローン化して、攻撃者がリアルタイムでユーザーになりすますことを可能にします。
キャンペーンには、検出と分析を回避するように設計された複数の反フォレンジック技術が含まれています。GhostClawペイロードは、重い難読化とステージド実行を通じてその動作を隠し、実行時にのみ重要なコンポーネントを復号化し、インストールプロセス中に生成された一時的なアーティファクトを削除します。
JFrogの研究者は、キャンペーンがnpmのインストールスクリプト実行機能の別の悪用を示していることを指摘しました。彼らは開発者に、システム認証情報をリクエストしたり、postinstallスクリプトを実行したり、インストール中に外部ペイロードをダウンロードしたりするnpmパッケージを疑わしいものとして扱うことをアドバイスし、開発者ツールは検証済みまたは公式ソースからのみインストールすることをお勧めしました。
翻訳元: https://www.csoonline.com/article/4142922/devs-looking-for-openclaw-get-served-a-ghostclaw-rat.html
