PANews는 3월 23일, Cryptopolitan의 발표를 인용하여 GhostClaw라는 새로운 악성코드가 macOS 기기의 암호화 지갑을 공격하고 있다고 보도했습니다. 이 악성코드는 정식 OpenClaw CLI 도구로 위장하여 npm 레지스트리에 일주일 동안 존재하며 178명의 개발자를 감염시킨 후 3월 10일에 삭제되었습니다. 개발자가 "npm install" 명령을 실행하면 숨겨진 스크립트가 GhostClaw 패키지를 전역적으로 설치하며, 난독화된 설정 파일을 통해 탐지를 회피합니다.

GhostClaw는 3초마다 클립보드를 스캔하여 개인 키, 니모닉 구문, 공개 키와 같은 암호화된 지갑 및 거래 관련 데이터를 캡처합니다. 두 번째 단계에서 페이로드를 다운로드한 후, GhostLoader는 Chromium 브라우저, macOS 키체인 및 시스템 저장소에서 암호화된 지갑 데이터를 스캔하고, 브라우저 세션을 복제하여 로그인된 지갑에 접근하고, OpenAI 및 Anthropic과 같은 AI 플랫폼에 연결된 API 토큰을 탈취합니다. 탈취된 데이터는 Telegram, GoFile 및 명령 서버를 통해 공격자에게 전송됩니다.