网络安全研究人员发现了一个恶意npm包，该包伪装成OpenClaw安装程序来部署远程访问木马（RAT）并从被攻击主机中窃取敏感数据。

该包名为"@openclaw-ai/openclawai"，由用户名为"openclaw-ai"的用户于2026年3月3日上传到注册表。截至目前已被下载178次。在撰写本文时，该库仍可供下载。

发现该包的JFrog公司表示，该包旨在窃取系统凭证、浏览器数据、加密钱包、SSH密钥、Apple钥匙串数据库和iMessage历史记录，同时安装具有远程访问能力、SOCKS5代理和实时浏览器会话克隆功能的持久性RAT。

"这次攻击因其广泛的数据收集、使用社会工程学获取受害者系统密码以及其持久性和命令控制基础设施的复杂性而引人注目，"安全研究员Meitar Palas说道。"在内部，该恶意软件将自己标识为GhostLoader。"

恶意逻辑通过postinstall钩子触发，该钩子使用命令"npm i -g @openclaw-ai/openclawai"全局重新安装该包。安装完成后，OpenClaw二进制文件通过"package.json"文件中的"bin"属性指向"s/setup.js"。

值得注意的是，"bin"字段用于定义在包安装期间应添加到用户PATH的可执行文件。这反过来将包转换为全局可访问的命令行工具。

文件"setup.js"作为第一阶段投递器，运行时显示一个令人信服的虚假命令行界面，带有动画进度条，给人以OpenClaw正在主机上安装的印象。在所谓的安装步骤完成后，脚本显示一个虚假的iCloud钥匙串授权提示，要求用户输入系统密码。

同时，脚本从命令控制服务器（"trackpipe[.]dev"）检索加密的第二阶段Java有效负载，然后解码，写入临时文件，并作为分离的子进程生成，继续在后台运行。临时文件在60秒后被删除以掩盖活动痕迹。

"如果Safari目录不可访问（没有完全磁盘访问权限），脚本会显示Apple对话框，敦促用户授予终端FDA权限，包括逐步说明和直接打开系统偏好设置的按钮，"JFrog解释道。"这使第二阶段有效负载能够窃取Apple Notes、iMessage、Safari历史记录和邮件数据。"

包含约11,700行代码的Java第二阶段是一个成熟的信息窃取器和RAT框架，具备持久性、数据收集、浏览器解密、命令控制通信、SOCKS5代理和实时浏览器克隆能力。它还配备了窃取多种数据的功能：

包括本地login.keychain-db和所有iCloud钥匙串数据库在内的macOS钥匙串；基于Chromium的所有浏览器的凭证、cookie、信用卡和自动填充数据，如Google Chrome、Microsoft Edge、Brave、Vivaldi、Opera、Yandex和Comet；桌面钱包应用程序和浏览器扩展的数据；加密货币钱包种子短语；SSH密钥；AWS、Microsoft Azure、Google Cloud、Kubernetes、Docker和GitHub的开发者和云凭证；人工智能智能体配置；以及受FDA保护的数据，包括Apple Notes、iMessage历史记录、Safari浏览历史、邮件账户配置和Apple账户信息。

在最后阶段，收集的数据被压缩成tar.gz存档，并通过多个渠道泄露，包括直接发送到命令控制服务器、Telegram Bot API和GoFile.io。

此外，该恶意软件进入持久守护模式，允许其每三秒监控剪贴板内容，并传输任何匹配九种预定义模式的数据，这些模式对应私钥、WIF密钥、SOL私钥、RSA私钥、BTC地址、以太坊地址、AWS密钥、OpenAI密钥和Strike密钥。

其他功能包括监控运行进程、实时扫描传入的iMessage聊天，以及执行从命令控制服务器发送的命令来运行任意shell命令、在受害者的默认浏览器上打开URL、下载额外有效负载、上传文件、启动/停止SOCKS5代理、列出可用浏览器、克隆浏览器配置文件并在无头模式下启动、停止浏览器克隆、自毁和自更新。

浏览器克隆功能特别危险，因为它启动一个带有包含cookie、登录和历史数据的现有浏览器配置文件的无头Chromium实例。这为攻击者提供了完全验证的浏览器会话，无需访问凭证。

"@openclaw-ai/openclawai包将社会工程学、加密有效负载传递、广泛数据收集和持久性RAT结合到单个npm包中，"JFrog说道。"精心制作的虚假CLI安装程序和钥匙串提示足够令人信服，可以从谨慎的开发者那里提取系统密码，一旦被捕获，这些凭证就能解锁macOS钥匙串解密和浏览器凭证提取，否则这些操作会被操作系统级保护阻止。"

Q&A

Q1：GhostLoader恶意软件是什么？它有哪些危害？

A：GhostLoader是一个复杂的信息窃取器和远程访问木马框架，伪装成OpenClaw安装程序。它能窃取系统凭证、浏览器数据、加密钱包、SSH密钥、Apple钥匙串数据库等敏感信息，还具备持久性控制、SOCKS5代理和实时浏览器会话克隆等功能。

Q2：这个恶意npm包是如何骗取用户系统密码的？

A：该恶意包通过显示虚假的命令行安装界面和伪造的iCloud钥匙串授权提示来进行社会工程学攻击。它会显示带有动画进度条的假安装过程，然后弹出看起来很真实的系统密码输入框，诱骗用户输入密码。

Q3：浏览器克隆功能有什么危险？

A：浏览器克隆功能会启动一个包含用户现有浏览器配置文件的无头Chromium实例，其中包含cookie、登录信息和历史数据。这使攻击者无需获取具体凭证就能获得完全验证的浏览器会话，可以访问用户的所有在线账户。