一个冒充Openclaw人工智能(AI)代理框架安装程序的恶意npm包正在传播旨在秘密窃取凭据的恶意软件,悄悄控制开发者的计算机。
安全研究人员表示,该包是针对使用Openclaw及类似AI代理工具的开发者的供应链攻击的一部分。一旦安装,该包会启动一系列伪装感染,最终部署一种名为Ghostloader的远程访问木马。
此次攻击由JFrog安全研究团队发现,并在2026年3月8日至9日之间披露。根据该公司的报告,该包于3月初出现在npm注册表中,截至3月9日已被下载约178次。尽管已披露,报告发布时该包仍在npm上可用。
乍一看,这款软件似乎无害。该包使用类似官方Openclaw工具的名称,并包含普通的Javascript文件和文档。研究人员表示,表面组件看起来无害,而恶意行为则在安装过程中触发。
当有人安装该包时,隐藏的脚本会自动激活。这些脚本营造出一个合法命令行安装程序的假象,显示进度指示器和系统消息,模仿真实的软件安装流程。
在安装过程中,程序会显示一个伪造的系统授权提示,要求用户输入计算机密码。该提示声称此请求是为了安全配置Openclaw的凭据。如果输入密码,恶意软件将获得提升的系统权限,访问敏感数据。
在后台,安装程序会从由攻击者控制的远程指挥控制服务器检索加密的载荷。一旦解密并执行,该载荷会安装Ghostloader远程访问木马。
研究人员表示,Ghostloader在系统上建立持久性,同时伪装成常规软件服务。该恶意软件随后会定期联系其指挥控制基础设施,接收攻击者的指令。
该木马旨在收集大量敏感信息。根据JFrog的分析,它会针对密码数据库、浏览器Cookies、保存的凭据和系统认证存储,这些可能包含对云平台、开发者账户和电子邮件服务的访问权限。
加密货币用户可能面临额外风险。恶意软件会搜索与桌面加密钱包和浏览器钱包扩展相关的文件,并扫描本地文件夹中的助记词或其他钱包恢复信息。
该工具还会监控剪贴板活动,能够收集SSH密钥和开发者常用的开发凭据,用于访问远程基础设施。安全专家表示,这种组合使开发者系统成为特别有吸引力的目标,因为它们通常持有生产环境的凭据。
除了数据窃取外,Ghostloader还具备远程访问功能,允许攻击者执行命令、检索文件或通过被感染的系统路由网络流量。研究人员表示,这些功能实际上将感染的机器变成了开发者环境中的立足点。
该恶意软件还会安装持久性机制,使其在系统重启后自动重新启动。这些机制通常涉及隐藏目录和对系统启动配置的修改。
JFrog研究人员识别出与该攻击活动相关的多个指标,包括与“npm telemetry”服务相关的可疑系统文件,以及与攻击者控制的基础设施的连接。
网络安全分析师指出,此事件反映了针对开发者生态系统的供应链攻击日益增长的趋势。随着AI框架和自动化工具的普及,攻击者越来越倾向于将恶意软件伪装成有用的开发者工具。
建议已安装该包的开发者立即将其删除,检查系统启动配置,删除可疑的telemetry目录,并更换受影响机器上的密码和凭据。
安全专家还建议仅从验证来源安装开发者工具,仔细审查npm包在全局安装前的内容,并使用供应链扫描工具检测可疑依赖。
Openclaw项目本身未被破坏,研究人员强调,此次攻击依赖于通过欺骗性包名伪装框架,而非利用官方软件漏洞。
