PANewsは3月23日、Cryptopolitanの情報として、GhostClawと呼ばれる新たなマルウェアがmacOSデバイス上の暗号化ウォレットを標的にしていると報じた。このマルウェアは正規のOpenClaw CLIツールを装い、1週間npmレジストリに存在し、3月10日に削除されるまでに178人の開発者を感染させた。開発者が「npm install」コマンドを実行すると、隠されたスクリプトがGhostClawパッケージをグローバルにインストールし、難読化された設定ファイルによって検出を回避する。

GhostClawは3秒ごとにクリップボードをスキャンし、暗号化されたウォレットやトランザクション関連データ（秘密鍵、ニーモニックフレーズ、公開鍵など）をキャプチャします。第2フェーズでペイロードをダウンロードした後、GhostLoaderはChromiumブラウザ、macOSキーチェーン、システムストレージ内の暗号化されたウォレットデータをスキャンし、ブラウザセッションを複製してログイン中のウォレットにアクセスし、OpenAIやAnthropicなどのAIプラットフォームに接続されたAPIトークンを盗みます。盗まれたデータは、Telegram、GoFile、コマンドサーバーを介して攻撃者に送信されます。