文章总结： 该文档分析了恶意npm包@openclaw-ai/openclawai冒充OpenClaw工具传播GhostLoader恶意软件的事件。攻击利用postinstall钩子触发多阶段攻击链，通过伪造CLI界面诱导输入密码，部署信息窃取与远程控制木马。该软件窃取SSH密钥、云凭证、加密钱包及浏览器数据，具备持久化驻留与剪贴板监控能力，并采用混淆与自毁技术对抗取证，建议开发者警惕供应链投毒风险。 综合评分： 90 文章分类： 恶意软件,供应链安全,威胁情报,逆向分析

数据被轻易窃取,小龙虾已被冒名顶替,越会用越危险

二进制空间安全

2026年3月12日 20:32 北京

将二进制空间安全设为”星标⭐️”

第一时间收到文章更新

技术背景

#

随着OpenClaw大火,各种妖魔鬼怪纷纷来袭，尤其是请人帮忙安装OpenClaw,一定要留个心眼, 最近有一个活跃的恶意npm包: @openclaw-ai/openclawai(版本1.5.14、1.5.15）,其通过冒充合法的OpenClaw CLI工具,在目标机器上静默部署具备完整能力的信息窃取程序和远程控制木马。

该威胁被命名为 “GhostLoader”，结合了精心设计的社会工程、加密Payload投递与长期持久化机制，旨在窃取目标环境中几乎所有的高价值机密,包括SSH 密钥、云凭证、AI Agent配置以及浏览器会话等。

表面来看，该包以“OpenClaw 安装程序”工具的形式出现：拥有干净的package.json 文件、src/index.js 导出看似无害、且未声明依赖，在快速扫描审计时容易给人以低风险印象。然而真正的恶意逻辑隐藏在安装脚本与后续投递的加密Payload中，一旦执行 openclaw 或完成安装，即会触发多阶段攻击链。

#

技术原理

#

真正的威胁来自于scripts 目录。通过postinstall钩子，包会静默以全局方式重新安装该软件包，从而使openclaw二进制文件进入系统PATH环境变量，并指向scripts/setup.js, 至此,第一阶段投放器准备完成。

当该二进制程序被执行后,它会显示一个逼真的伪造CLI安装程序，并带有动画进度条,如下图:

当受害者在界面中输入密码后,setup.js已在后台解码经XOR隐藏的C2 URL与活动ID,并与hxxps[://]trackpipe[.]dev通信，拉取经AES-256-GCM加密的第二阶段Payload,之后,恶意程序将解密后的JavaScript写入临时文件，在独立的Node进程中执行，并通过 NODE_AUTH_TOKEN 传递窃取到的密码、通过 NODE_CHANNEL 传递活动标签如 complexarchaeologist1，约一分钟后删除临时文件以降低取证痕迹。解密过程如下图:

setup.js 采用字符串表重排、RC4 解码、控制流平坦化等混淆手段。在 macOS 上，若“全磁盘访问”阻止了Safari等数据访问，恶意软件还会弹出 AppleScript对话框，诱导用户为终端授予“全磁盘访问”权限，从而访问 Notes、Mail、iMessage 与 Safari 历史记录。

第二阶段GhostLoader是一个约11,700 行的CommonJS捆绑包，将自身伪装成npm监控服务完成持久化, macOS/Linux平台安装位置为：

~/.cache/.npm_telemetry/monitor.js

#

,Windows安装位置为:

%APPDATA%/.npm_telemetry/monitor.js

恶意程序通过Shell RC钩子例如在.zshrc、.bashrc、.bash_profile 中追加伪装的“NPM Telemetry Integration Service” 行、Linux 上的 @reboot cron、以及PID锁文件,确保单实例、常驻运行。

数据窃取

  GhostLoader首次运行时，会发起10 分钟的快速攻击，向Telegram发送“新会话”警报，其中包含受害者的系统密码、主机、IP、国家/地区和规格，然后大规模收集敏感数据。这些数据包括:

• macOS / iCloud Keychain。
• Chromium、Firefox 的密码与 Cookie（在 macOS上利用已窃取的系统密码解密）。
• 通过Chrome DevTools Protocol（CDP）窃取Cookie；
• 常见钱包应用、浏览器扩展及 BIP-39 助记词（搜索 Desktop、Documents、Downloads）。
• SSH 密钥，AWS/Azure/GCP 云凭证，Kubernetes kubeconfig，Docker 配置，npm/Git 凭据，GitHub CLI 主机配置，Solana 密钥，环境变量。
• 针对 ZeroClaw、PicoClaw、OpenClaw 目录下的配置与数据。
• 若已获得全磁盘访问：Apple Notes、iMessage 聊天记录、Safari 浏览历史、Mail 与 Apple 账户数据库等。

对难以通过 SQLite 直接提取的 Cookie，恶意软件会通过 CDP 启动无头浏览器实例（-remote-debugging-port），以编程方式导出全部Cookie。

窃取结果会打包为 [COUNTRY_CODE]username_persistentId.tar.gz，并通过多种途径外泄：直接上传至trackpipe[.]dev、通过Telegram Bot API 上传较小归档、以及使用硬编码 Bearer与密码锁定逻辑上传至GoFile.io。同时会向Telegram发送格式化的“GhostLoader 报告”，汇总密码、卡片、自动填充、钱包、助记词、SSH 密钥、全磁盘访问状态、持久化项与AI Agent命中情况。以下是数据窃取关键代码:

首次大规模窃取完成后，GhostLoader在后续启动中切换为持久化RAT模式,具体动作包括:

• 注册与配置：向 C2 面板注册，拉取 Telegram 相关配置，并启动多种监控模块。
• 剪贴板监控：约每 3 秒扫描剪贴板，匹配加密货币密钥、AWS 密钥、OpenAI/Stripe API 密钥、助记词等，并实时转发至 C2。
• 指令轮询：约每25 秒向C2 轮询指令,支持执行任意Shell命令、更新Payload、重新执行数据收集、按指定路径再次外泄、启动/停止SOCKS5代理、克隆浏览器配置（CLONE_START）：复制完整浏览器配置文件，启动带远程调试的无头Chromium，将CDP WebSocket中继回 C2，使攻击者能够以受害者身份使用已认证的完整浏览会话，而无需单独窃取账号密码。

为增加防御与取证难度，GhostLoader 还会：使用分离进程并采用无害的进程标题、删除临时Payload、以 .npm_telemetry 名称与注释横幅隐藏、在外泄后清理窃取目录，并支持NUKE命令,按需移除Shell钩子、cron、临时文件与安装目录，实现自毁。

(全文完)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：二进制空间安全 《数据被轻易窃取,小龙虾已被冒名顶替,越会用越危险》