GhostClaw は多段階の macOS 情報盗聴マルウェアで、GitHub と AI 支援開発ワークフローの両方を悪用して認証情報を収集し、二次ペイロードをデプロイし、潜在的な被害者ベースを大幅に拡大しています。
Jamf Threat Labs はその後この研究を拡張し、trading bot、SDK、開発者ツールになりすまし GitHub リポジトリでホストされている少なくとも 8 つの追加サンプルを発見しました。
これらのリポジトリは多くの場合、まず信頼を構築し、無害またはある程度機能的なコードを提供してスターを集めてから、攻撃者は静かに悪意のあるコンポーネントを導入します。
Jamf の分析によると、同じ GhostClaw ペイロードは、README ファイルからコピーペーストされた従来のユーザー駆動型コマンドと、GitHub から直接「スキル」をインストールする自動化 AI エージェント ワークフローの両方で配布されています。
3 月初旬、JFrog Security Research は GhostClaw/GhostLoader を文書化し、偽の OpenClaw インストーラーを介して macOS ユーザーを対象とした悪意のある npm ベースのキャンペーンとして報告しました。
この転換は、通常の GitHub と AI コーディング習慣を macOS 情報盗聴の効果的なマルウェア配信パイプラインに変えます。
GhostClaw AI マルウェア
開発者対象のおとり以外に、GhostClaw オペレーターは、OpenClaw などの AI 支援フレームワーク向けに設計された SKILL.md マニフェストを含むリポジトリを保有しており、自律型エージェントが GitHub から外部「スキル」を発見してインストールします。
SKILL.md ファイルは無害に見え、コマンド、依存関係、エントリポイントなどのメタデータのみを公開し、悪意のあるロジックはインストール スクリプトと JavaScript ローダーに隠れています。
開発者または AI エージェントが文書化されたセットアップ ステップに従う場合(たとえば、install.sh を実行する場合)、基になるコードの明示的なユーザー精査を必要とせずに、同じ悪意のある実行チェーンがトリガーされます。
これにより、GhostClaw は、エージェントがシェル コマンドを実行することが暗黙的に信頼される自動化環境で実行でき、正当な自動化と隠蔽された侵害の線をさらに曖昧にすることができます。
すべてのバリアント にわたって、感染は install.sh が実行されたときに開始され、手動でも AI エージェントでも可能です。
このスクリプトは macOS ホストをプロファイリングし、Node.js をユーザー管理下のパスにインストールし、TLS 証明書検証をバイパスする insecure -k フラグ付きの curl を使用して追加コンポーネントをダウンロードします。
その後、setup.js を介してオブファスケーション JavaScript を起動し、動作は GHOST_PASSWORD_ONLY 環境変数によって制御され、完全な「ブランド付き」インストーラー フロー或いは最小限の認証情報盗聴パスの間で選択します。
setup.js はターミナルをクリアし、正当な SDK インストレーションをミミックし、その後、偽のターミナル プロンプトまたは AppleScript 駆動ダイアログを使用してパスワード入力を促し、macOS セキュリティ アラートのような外観にします。
キャプチャされた認証情報は dscl -authonly で検証され、可能な場合は、フル ディスク アクセスの有効化についてのガイダンスと組み合わせて、マルウェアにブラウザ データ、アプリケーション ストア、その他の機密アーティファクトへの可視性を与えます。
有効なパスワードが取得されると、GhostClaw はリポジトリごとの一意の識別子を使用して trackpipe[.]dev に接続し、暗号化された二次ペイロードを取得し、それをローカルで /tmp/sys-opt-{random}.js に復号化し、~/.cache/.npm_telemetry/monitor.js などの npm テレメトリをミミックするパスの下で永続化する分離された GhostLoader プロセスとして実行します。
最終段階である postinstall.js はターミナルをクリアし、長年のアンチグラビティ パッケージのグローバル npm インストールを試みることによって、クリーンアップと混乱に焦点を当て、無害な成功メッセージまたは存在しない @install タグを参照する孤立したようなエラー メッセージのどちらかを表示します。
この動作は、以前の悪意のあるチェーンを、日常的な依存関係管理ノイズのように見えるもの後ろに隠します。
Jamf は複数の GitHub リポジトリとサンプルを単一の C2 ドメイン trackpipe.dev にリンクし、「anglmf」や「cryptoexth4」などの異なる UUID スタイルのパスとオプションの NODE_CHANNEL 値を使用してルア全体のアクティビティをセグメント化します。
GhostClaw は、GlassWorm や PolinRider などの最近のキャンペーンで見られるより広範なソフトウェア サプライ チェーン トレンドに適合します。これは、開発者エコシステムとオープン ソース リポジトリを悪用して、情報盗聴とトークン グラバーを大規模に配布します。
防守側にとって、主な軽減策には、コピーペーストされたインストール コマンドと AI で提案されたシェル ステップを信頼できない入力として扱い、リポジトリの履歴とメンテナーを検証し、未知のスクリプトのブロック、curl -k の使用の監視、および企業の macOS フリート上で同様の動作をブロックして報告するための高度な脅威防止の設定などのエンドポイント制御を実施することが含まれます。
翻訳元: https://gbhackers.com/ghostclaw-ai-malware/
