一個冒充Openclaw人工智慧(AI)代理框架安裝程式的惡意npm套件正在散播旨在秘密控制開發者電腦的竊取憑證惡意軟體。
安全研究人員表示,該套件是針對使用Openclaw及類似AI代理工具的開發者的供應鏈攻擊的一部分。一旦安裝,該套件會啟動一個階段性感染,最終部署一個名為Ghostloader的遠端存取木馬。
此攻擊由JFrog安全研究團隊發現,並於2026年3月8日至9日披露。根據該公司的報告,該套件於3月初出現在npm註冊表中,截至3月9日已被下載約178次。儘管已披露,該套件在報告時仍然在npm上可用。
乍看之下,該軟體似乎無害。該套件使用類似官方Openclaw工具的名稱,並包含普通的JavaScript文件和文件說明。研究人員表示,這些可見組件看起來無害,而惡意行為則在安裝過程中觸發。
當有人安裝該套件時,隱藏的腳本會自動啟動。這些腳本會創造出一個合法命令列安裝程式的假象,顯示進度指示器和系統訊息,模仿真實軟體安裝流程。
在安裝過程中,程式會顯示一個假冒的系統授權提示,要求用戶輸入電腦密碼。該提示聲稱此請求是為了安全配置Openclaw的憑證。如果輸入密碼,惡意軟體就能獲得提升的系統存取權限,存取敏感資料。
在幕後,安裝程式會從由攻擊者控制的遠端指揮控制伺服器取得一個加密的有效載荷。解密並執行後,該載荷會安裝Ghostloader遠端存取木馬。
研究人員表示,Ghostloader會在系統上建立持久性,並偽裝成常規軟體服務。該惡意軟體會定期聯繫其指揮控制基礎設施,接收攻擊者的指令。
這個木馬旨在收集大量敏感資訊。根據JFrog的分析,它會針對密碼資料庫、瀏覽器Cookie、已儲存的憑證和系統認證存儲,這些可能包含對雲平台、開發者帳戶和電子郵件服務的存取權限。
加密貨幣用戶可能面臨額外風險。惡意軟體會搜尋與桌面加密貨幣錢包和瀏覽器錢包擴展相關的檔案,並掃描本地資料夾尋找種子短語或其他錢包恢復資訊。
該工具還會監控剪貼簿活動,並能竊取SSH金鑰和工程師常用的開發憑證,以存取遠端基礎設施。安全專家表示,這種組合使得開發者系統特別具有吸引力,因為它們通常持有生產環境的憑證。
除了資料竊取外,Ghostloader還具備遠端存取功能,允許攻擊者執行命令、擷取檔案或通過受感染的系統轉發網路流量。研究人員指出,這些功能有效地將受感染的機器轉變為攻擊者在開發者環境中的立足點。
該惡意軟體還會安裝持久性機制,使其在系統重啟後自動重新啟動。這些機制通常涉及隱藏目錄和修改系統啟動配置。
JFrog研究人員辨識出與該攻擊活動相關的多個指標,包括與“npm telemetry”服務相關的可疑系統檔案,以及與攻擊者控制的基礎設施的連線。
網路安全分析師表示,這次事件反映出針對開發者生態系統的供應鏈攻擊日益增加的趨勢。隨著AI框架和自動化工具的普及,攻擊者越來越多地將惡意軟體偽裝成有用的開發者工具。
建議已安裝該套件的開發者立即將其移除,檢查系統啟動配置,刪除可疑的telemetry目錄,並更換受影響機器上的密碼和憑證。
安全專家還建議只從驗證來源安裝開發者工具,仔細審查npm套件,並使用供應鏈掃描工具來偵測可疑的相依性。
Openclaw專案本身尚未遭到破壞,研究人員強調,這次攻擊是透過偽裝套件名稱來冒充該框架,而非利用官方軟體漏洞。
