Злонамерен npm пакет кој се претставува како инсталер за OpenClaw инсталира RAT и краде податоци од macOS

Истражувачи за сајбер-безбедност открија злонамерен npm пакет кој се претставува како инсталер за OpenClaw со цел да инсталира Remote Access Trojan (RAT) и да украде чувствителни податоци од компромитираните системи.

Пакетот, наречен “@openclaw-ai/openclawai”, бил поставен во регистарот од корисник со име “openclaw-ai” на 3 март 2026 година. До сега бил преземен 178 пати, а библиотеката сè уште е достапна за преземање во моментот на пишување.

Компанијата JFrog, која го откри пакетот, соопшти дека тој е дизајниран да краде:

• системски лозинки (credentials)
• податоци од прелистувачи
• крипто паричници
• SSH клучеви
• Apple Keychain бази на податоци
• историја од iMessage

Покрај тоа, инсталира постојан RAT со можности за:

• далечински пристап
• SOCKS5 прокси
• клонирање на активна сесија од прелистувач

Истражувачот за безбедност Meitar Palas изјави:

„Овој напад е значаен поради широкото собирање податоци, употребата на social engineering за да се добие системската лозинка на жртвата и софистицираната инфраструктура за перзистентност и C2 (command-and-control). Внатрешно, малициозниот софтвер се идентификува како GhostLoader.“

Како функционира нападот

Злонамерната логика се активира преку postinstall hook, кој повторно го инсталира пакетот глобално со командата:

npm i -g @openclaw-ai/openclawai

Откако инсталацијата ќе заврши, OpenClaw бинарниот фајл покажува кон “scripts/setup.js” преку својството “bin” во датотеката package.json.

Полето bin се користи за дефинирање извршни датотеки кои се додаваат во PATH на корисникот при инсталација на пакетот. На овој начин пакетот станува глобално достапна CLI (command-line) алатка.

Лажен инсталер

Датотеката setup.js служи како прва фаза (dropper). Кога се извршува:

• прикажува убедлив лажен command-line интерфејс
• има анимирани прогрес барови за да изгледа како вистинска инсталација на OpenClaw

Откако „инсталацијата“ ќе заврши, скриптата прикажува лажен iCloud Keychain прозорец за авторизација, барајќи од корисникот да ја внесе системската лозинка.

Втора фаза на малверот

Истовремено, скриптата презема шифриран JavaScript payload од C2 серверот:

trackpipe[.]dev

Payload-от се:

1. декодира
2. запишува во привремена датотека
3. стартува како detached child процес во позадина

По 60 секунди, привремената датотека се брише за да се сокријат трагите.

Ако Safari директориумот не е достапен (без Full Disk Access), скриптата прикажува AppleScript дијалог со инструкции корисникот да му даде Full Disk Access на Terminal, па дури и отвора System Preferences.

Со ова се овозможува кражба на:

• Apple Notes
• iMessage
• Safari историја
• Mail податоци

Напреден инфостилер и RAT

Втората JavaScript фаза содржи околу 11.700 линии код и претставува целосна framework платформа за кражба на информации и RAT со функции за:

• перзистентност
• собирање податоци
• дешифрирање на податоци од прелистувачи
• комуникација со C2 сервер
• SOCKS5 прокси
• клонирање на browser сесии

Малверот може да украде:

macOS Keychain

• локален login.keychain-db
• iCloud Keychain бази

Податоци од Chromium прелистувачи

• Google Chrome
• Microsoft Edge
• Brave
• Vivaldi
• Opera
• Yandex
• Comet

Вклучувајќи:

• лозинки
• cookies
• credit cards
• autofill податоци

Исто така краде:

• податоци од crypto wallet апликации и екстензии
• seed фрази од крипто паричници
• SSH клучеви
• cloud credentials за AWS, Azure, Google Cloud
• Kubernetes, Docker и GitHub credentials
• конфигурации за AI агенти

Податоци заштитени со Full Disk Access, како:

• Apple Notes
• iMessage историја
• Safari историја
• Mail конфигурации
• Apple account информации

Екфилтрација на податоци

Во последната фаза:

• податоците се компресираат во tar.gz архивa
• се испраќаат преку повеќе канали:
• директно до C2 сервер
• Telegram Bot API
• GoFile.io

Дополнителни функции

Малверот работи како постојан daemon и:

• проверува clipboard на секои 3 секунди
• испраќа податоци ако препознае:
  • private keys
  • WIF key
  • SOL private key
  • RSA private key
  • BTC address
  • Ethereum address
  • AWS key
  • OpenAI key
  • Strike key

Исто така може:

• да следи активни процеси
• да скенира iMessage пораки во реално време
• да извршува команди од C2 серверот

На пример:

• извршување shell команди
• отворање URL во прелистувач
• преземање дополнителен малвер
• upload на датотеки
• старт/стоп на SOCKS5 прокси
• листа на достапни прелистувачи
• клонирање на browser профил
• стартување headless browser
• self-destruct
• автоматско ажурирање

Особено опасна функција: клонирање на прелистувач

Функцијата за browser cloning стартува headless Chromium со постоечкиот browser профил кој содржи:

• cookies
• логирани сесии
• историја

На тој начин напаѓачот добива целосно автентицирана browser сесија без потреба од лозинки.

Заклучок

JFrog изјави:

„Пакетот @openclaw-ai/openclawai комбинира social engineering, испорака на шифриран payload, масовно собирање податоци и перзистентен RAT во еден npm пакет.“

„Лажниот CLI инсталер и Keychain прозорецот се доволно убедливи за да извлечат системски лозинки дури и од внимателни програмери. Откако тие ќе се добијат, можат да се дешифрираат macOS Keychain и browser credentials кои инаку се заштитени од оперативниот систем.“

Извори:

• The Hacker News – Malicious npm Package Posing as OpenClaw Installer Deploys RAT, Steals macOS Credentials The Hacker News