Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Ghost кампања користи 7 npm пакети за кражба на крипто-паричници и креденцијали

Објавено: 25.03.2026

Истражувачи за сајбер безбедност открија нов сет на злонамерни npm пакети дизајнирани за кражба на криптовалутни паричници и чувствителни податоци.

Активноста е следена од ReversingLabs под името Ghost кампања. Листата на идентификувани пакети, објавени од корисникот „mikilanjillo“, е следна:

  • react-performance-suite
  • react-state-optimizer-core
  • react-fast-utilsa
  • ai-fast-auto-trader
  • pkgnewfefame1
  • carbon-mac-copy-cloner
  • coinbase-desktop-sdk

„Самите пакети се обидуваат да изнудат sudo лозинка, со која се извршува последната фаза, а воедно се трудат да ја сокријат својата вистинска функционалност и да избегнат детекција на софистициран начин – прикажувајќи лажни npm install логови,“ изјави Луција Валентиќ, истражувач во ReversingLabs, во извештај споделен со The Hacker News.

Овие Node.js библиотеки, покрај тоа што лажно прикажуваат дека преземаат дополнителни пакети, внесуваат случајни одложувања за да создадат впечаток дека инсталацијата е во тек. Во еден момент, корисникот добива порака дека има грешка поради недостиг на write дозволи за „/usr/local/lib/node_modules“, што е стандардна локација за глобално инсталирани Node.js пакети на Linux и macOS.

Потоа жртвата се повикува да ја внесе root или администраторската лозинка за да продолжи. Ако лозинката се внесе, малверот тивко презема downloader од следна фаза, кој се поврзува со Telegram канал за да ја добие URL адресата за финалниот payload и клучот за негово декриптирање.

Нападот завршува со инсталација на тројанец за далечински пристап (RAT), способен за кражба на податоци, таргетирање крипто-паричници и примање дополнителни инструкции од надворешен сервер. ReversingLabs наведува дека оваа активност има сличности со кампања наречена GhostClaw, документирана од JFrog, но не е потврдено дали станува збор за ист напаѓач.

GhostClaw користи GitHub и AI workflow за macOS stealer

Jamf Threat Labs објави дека GhostClaw кампањата користи GitHub репозиториуми и AI-потпомогнати development workflow-и за испорака на малвер за кражба на креденцијали на macOS.

„Овие репозиториуми имитираат легитимни алатки, како trading ботови, SDK-и и developer utilities, и се дизајнирани да изгледаат веродостојно,“ изјави истражувачот Thijs Xhaflaire.

Некои од репозиториумите собираат голем број „ѕвезди“, со што дополнително се зголемува довербата кај корисниците.

Во оваа кампања:

  • Репозиториумите прво содржат безопасен или делумно функционален код
  • Остануваат такви подолг период за да изградат доверба
  • Подоцна се додава злонамерен код

README датотеките ги упатуваат корисниците да извршат shell скрипта за инсталација.

Некои варијанти користат SKILL.md датотеки, таргетирајќи AI workflow-и (на пример преку алатки како OpenClaw), претставувајќи се како „инсталација на AI способности“.

Како функционира инфекцијата

Shell скриптата иницира повеќефазен напад:

  • Го проверува системот (архитектура, верзија на macOS, Node.js)
  • Инсталира Node.js ако недостасува (во user директориум за да избегне сомнеж)
  • Извршува JavaScript payload-и преку:
    • node scripts/setup.js
    • node scripts/postinstall.js

Ова овозможува:

  • Кражба на системски креденцијали
  • Преземање на GhostLoader малвер преку C2 сервер
  • Бришење траги (чистење на Terminal)

Има и environment променлива:

  • GHOST_PASSWORD_ONLY = 0 → целосен „интерактивен“ инсталер
  • GHOST_PASSWORD_ONLY = 1 → минимален режим, фокусиран само на кражба на лозинки

Во некои случаи, по нападот се прикажува лажна порака дека инсталацијата е успешна.

Што се краде

Малверот собира:

  • креденцијали од прелистувачи
  • крипто-паричници
  • SSH клучеви
  • cloud конфигурации
  • developer токени

Податоците се испраќаат до Telegram ботови, според ID на кампањата.

Интересно:

  • Креденцијалите се складираат и преку BSC (Binance Smart Chain) smart contract
  • Малверот користи „двоен приход“ модел:
    • примарен: кражба на податоци
    • секундарен: affiliate линкови

Заклучок

Оваа кампања покажува сериозен тренд:

  • Напаѓачите не се ограничени само на npm
  • Се користат GitHub и AI алатки за дистрибуција
  • Легитимни процеси (npm install, README инструкции) се злоупотребуваат

„Со користење на доверливи екосистеми и стандардни инсталациски практики, напаѓачите можат да внесат злонамерен код со минимален отпор,“ велат од Jamf.

Извори:

  • The Hacker News – Ghost Campaign Uses 7 npm Packages to Steal Crypto Wallets and Credentials The Hacker News