セキュリティ研究者が、OpenClaw Installerという正規のツールになりすましている悪質なnpmパッケージを発見しました。
実際には、開発者のシークレット、ブラウザーデータ、暗号ウォレットファイル、システム認証情報を盗む強力なマルウェアフレームワークを配信し、長期的な制御のための永続的なリモートアクセスツールをインストールします。
パッケージは最初は無害に見えます。そのメタデータとソースファイルは通常のユーティリティとして表示されていますが、実際の悪意あるロジックはセットアップとポストインストールスクリプトに隠されています。
最初の警告兆候の1つは、パッケージをサイレントにグローバルにインストールするpostinstallフックです。これは偽のopenclaw commandをシステムパスに配置し、ユーザーがパッケージを1回だけインストールした場合でもマルウェアが実行されることを保証します。
第1段階のスクリプトは高度に難読化されており、端末で洗練された偽のインストーラーを起動します。
プログレスバー、スピナー、現実的なセットアップメッセージを表示して、被害者に本物のインストールが進行中であることを納得させます。
偽のセットアップが完了した後、スクリプトはユーザーのシステムパスワードを要求する偽のキーチェーン認証プロンプトを表示します。
パスワードリクエストは攻撃の中核です。マルウェアは入力されたパスワードを実際のオペレーティングシステムに対して検証するため、失敗した試みは通常の認証エラーとまったく同じように動作します。
ユーザーが正しいパスワードを入力した場合、マルウェアは盗むのが難しい保護されたデータへのアクセスを取得します。
同時に、スクリプトはリモートサーバーに静かに接触し、AES-256-GCM暗号化された第2段階のペイロードをダウンロードし、復号化し、一時ファイルに書き込み、デタッチされたバックグラウンドプロセスとして起動します。
盗まれたパスワードは環境変数を通じて渡されます。macOSでは、マルウェアはユーザーにTerminalへの完全なディスクアクセスを許可するよう要求する場合もあります。これにより、Safari履歴、Apple Notes、Mail、iMessageの履歴などの機密データにアクセスできます。
GhostLoaderと内部的に呼ばれている第2段階のペイロードは、情報窃取と リモートアクセストロイの両方として機能する大規模なJavaScriptマルウェアバンドルです。
.npm_telemetryに偽装された隠されたディレクトリにインストールされ、シェルフックをスタートアップファイルに追加し、Linuxではリブート永続化のためのcronジョブも作成します。
OpenClawのような環境に関連するファイルを含むAIツール構成もターゲットにしています。
マルウェアは盗まれたデータを圧縮し、攻撃者が制御するサーバーとTelegramチャネルに送信します。
インストール後、永続モードに入り、コマンドを実行したり、URLを開いたり、SOCKS5プロキシを開始したり、ファイルを再収集したり、自動更新したり、Chrome DevTools Protocolを使用してライブブラウザーセッションをクローンしたりできます。
このケースは、ソフトウェアサプライチェーン攻撃がどのように進化しているかを示しています。開発者にとって、教訓は明白です。システム認証情報をリクエストし、隠されたインストールスクリプトを実行し、またはリモートペイロードをダウンロードするnpmパッケージを非常に疑わしいものとして扱う必要があります。
翻訳元: https://cyberpress.org/ghostclaw-targets-developers-data/