Pesquisadores de segurança cibernética descobriram um pacote npm malicioso que se disfarça como um instalador OpenClaw para implantar um trojan de acesso remoto (RAT) e roubar dados confidenciais de hosts comprometidos.
O pacote, denominado “@openclaw-ai/openclawai“foi carregado no registro por um usuário chamado” openclaw-ai “em 3 de março de 2026. Ele foi baixado 178 vezes até o momento. A biblioteca ainda está disponível para download no momento da escrita.
JFrog, que descobriu o pacote, disse que ele foi projetado para roubar credenciais do sistema, dados do navegador, carteiras criptográficas, chaves SSH, bancos de dados do Apple Keychain e histórico do iMessage, bem como instalar um RAT persistente com recursos de acesso remoto, proxy SOCKS5 e clonagem de sessão ao vivo do navegador. Está rastreando a atividade sob o nome GhostClaw.
“O ataque é notável por sua ampla coleta de dados, pelo uso de engenharia social para coletar a senha do sistema da vítima e pela sofisticação de sua persistência e infraestrutura C2 (comando e controle)”, disse o pesquisador de segurança Meitar Palas. disse. “Internamente, o malware se identifica como GhostLoader.”
A lógica maliciosa é acionada por meio de um gancho pós-instalação, que reinstala o pacote globalmente usando o comando: “npm i -g @openclaw-ai/openclawai.” Assim que a instalação for concluída, o binário OpenClaw aponta para “scripts/setup.js” por meio da propriedade “bin” no arquivo “package.json”.
Vale ressaltar que o “caixa“é usado para definir arquivos executáveis que devem ser adicionados ao PATH do usuário durante a instalação do pacote. Isso, por sua vez, transforma o pacote em uma ferramenta de linha de comando acessível globalmente.
O arquivo “setup.js” serve como o conta-gotas de primeiro estágio que, ao ser executado, exibe uma interface de linha de comando falsa e convincente com barras de progresso animadas para dar a impressão de que o OpenClaw está sendo instalado no host. Após a suposta etapa de instalação ser concluída, o script mostra um prompt de autorização falso do iCloud Keychain, solicitando que os usuários insiram a senha do sistema.
Simultaneamente, o script recupera uma carga JavaScript criptografada de segundo estágio do servidor C2 (“trackpipe(.)dev”), que é então decodificada, gravada em um arquivo temporário e gerada como um processo filho desanexado para continuar em execução em segundo plano. O arquivo temporário é excluído após 60 segundos para encobrir vestígios da atividade.
“Se o diretório Safari estiver inacessível (sem acesso total ao disco), o script exibirá uma caixa de diálogo AppleScript solicitando ao usuário que conceda FDA ao Terminal, completo com instruções passo a passo e um botão que abre as Preferências do Sistema diretamente”, explicou JFrog. “Isso permite que a carga útil do segundo estágio roube dados do Apple Notes, iMessage, histórico do Safari e dados do Mail.”
O segundo estágio do JavaScript, com cerca de 11.700 linhas, é um ladrão de informações completo e uma estrutura RAT capaz de persistência, coleta de dados, descriptografia de navegador, comunicação C2, proxy SOCKS5 e clonagem de navegador ao vivo. Também está equipado para roubar uma ampla gama de dados –
- macOS Keychain, incluindo o login.keychain-db local e todos os bancos de dados do iCloud Keychain
- Credenciais, cookies, cartões de crédito e dados de preenchimento automático de todos os navegadores baseados em Chromium, como Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, Yandex e Comet
- Dados de aplicativos de carteira de desktop e extensões de navegador
- Frases iniciais de carteira de criptomoeda
- Chaves SSH
- Credenciais de desenvolvedor e de nuvem para AWS, Microsoft Azure, Google Cloud, Kubernetes, Docker e GitHub
- Configurações do agente de inteligência artificial (IA) e
- Dados protegidos pela FDA, incluindo Apple Notes, histórico do iMessage, histórico de navegação do Safari, configurações da conta do Mail e informações da conta da Apple
Na etapa final, os dados coletados são compactados em um arquivo tar.gz e exfiltrados por meio de vários canais, inclusive diretamente para o servidor C2, Telegram Bot API e GoFile.io.
Além do mais, o malware entra em um modo daemon persistente que permite monitorar o conteúdo da área de transferência a cada três segundos e transmitir quaisquer dados que correspondam a um dos nove padrões predefinidos correspondentes às chaves privadas, Chave WIFchave privada SOL, chave privada RSA, endereço BTC, endereço Ethereum, chave AWS, chave OpenAI e chave Strike.
Outros recursos incluem manter o controle sobre os processos em execução, verificar bate-papos recebidos do iMessage em tempo real e executar comandos enviados do servidor C2 para executar comandos shell arbitrários, abrir uma URL no navegador padrão da vítima, baixar cargas adicionais, fazer upload de arquivos, iniciar/parar um proxy SOCKS5, listar navegadores disponíveis, clonar um perfil de navegador e iniciá-lo no modo headless, interromper a clonagem do navegador, autodestruir-se e atualizar-se.
A função de clonagem do navegador é particularmente perigosa, pois inicia uma instância headless do Chromium com o perfil do navegador existente que contém cookies, login e dados de histórico. Isso dá ao invasor uma sessão de navegador totalmente autenticada, sem a necessidade de acessar credenciais.
“O pacote @openclaw-ai/openclawai combina engenharia social, entrega de carga útil criptografada, ampla coleta de dados e um RAT persistente em um único pacote npm”, disse JFrog.
“O falso instalador CLI e o prompt do Keychain são convincentes o suficiente para extrair senhas do sistema de desenvolvedores cautelosos e, uma vez capturadas, essas credenciais desbloqueiam a descriptografia do macOS Keychain e a extração de credenciais do navegador que, de outra forma, seriam bloqueadas pelas proteções no nível do sistema operacional.”
Atualizar
O pacote foi removido do registro npm em 10 de março de 2026.
Deseja saber mais sobre Golpes Online, Spam, Phishing e Cibersegurança Clique Aqui!