GhostClaw se présente comme un package d’installation OpenClaw, volant les informations d’identification du système et les données sensibles avant de déployer un RAT persistant.
Selon une nouvelle étude de JFrog, un package npm malveillant se faisant passer pour un programme d’installation d’OpenClaw a été surpris en train de déployer un cheval de Troie d’accès à distance (RAT) sur les machines victimes.
Le package, publié sous le nom « @openclaw-ai/openclawai », prétend être un installateur pour l’outil CLI légitime, mais lance à la place une chaîne d’infection en plusieurs étapes qui vole les informations d’identification du système, les données du navigateur, les portefeuilles de crypto-monnaie, les clés SSH et les bases de données du trousseau Apple avant d’établir la persistance.
« L’attaque se distingue par sa large collecte de données, son utilisation de l’ingénierie sociale pour récupérer le mot de passe système de la victime, ainsi que par la sophistication de sa persistance et de son infrastructure C2 », ont déclaré les chercheurs de JFrog dans un article de blog.
En interne, le malware s’est identifié comme « GhostLoader ».
Ingénierie sociale pour récolter des informations d’identification
Les chercheurs ont expliqué que le package publié comprend un utilitaire JavaScript d’apparence sûre et des métadonnées typiques du projet, cachant la logique malveillante dans son répertoire « scripts ».
Le déclencheur se produit lors de l’installation. Un script de post-installation installe le package globalement, garantissant que le binaire contrôlé par l’attaquant atterrit sur le PATH du système. Ce binaire lance ensuite un script de configuration obscurci qui fait office de compte-gouttes de première étape. Lors de l’exécution, le compte-gouttes affiche ce qui semble être un programme d’installation de ligne de commande légitime avec des barres de progression animées et des messages système.
Cependant, en coulisses, le malware récupère simultanément une charge utile de deuxième étape sur un serveur distant.
Une fois la fausse séquence d’installation terminée, l’utilisateur est invité à fournir des informations d’identification d’administrateur validées par le système d’exploitation. Jusqu’à 5 tentatives sont autorisées et le message « Les tentatives échouées indiquent » Échec de l’authentification. Veuillez réessayer. – imitant exactement le comportement réel du système d’exploitation », ont ajouté les chercheurs.
Même si l’utilisateur pense que l’installation s’est terminée normalement, la charge utile réelle continue de s’exécuter silencieusement en arrière-plan.
Du vol de mot de passe à la persistance
Le malware de deuxième étape, appelé en interne « GhostLoader », est un vaste ensemble JavaScript implémentant à la fois un voleur d’informations et un cadre d’accès à distance. Une fois lancé, GhostLoader s’installe dans un répertoire caché déguisé en service de télémétrie npm et met en place des mécanismes de persistance qui incluent des hooks de configuration shell qui relancent automatiquement le malware s’il cesse de s’exécuter.
Parallèlement, le malware commence à collecter des données sensibles dans tout le système. Selon les chercheurs, la charge utile cible les informations d’identification du navigateur, les cookies enregistrés, les clés SSH, les portefeuilles de crypto-monnaie, les données du trousseau Apple et les données d’applications personnelles telles que l’historique iMessage et les enregistrements de courrier électronique.
Le malware dispose également d’un composant RAT qui permet aux opérateurs distants d’acheminer le trafic via la machine infectée à l’aide d’un proxy SOCKS5 et même de cloner des sessions de navigateur actives, permettant aux attaquants de se faire passer pour les utilisateurs en temps réel.
La campagne comprend plusieurs techniques anti-légales conçues pour échapper à la détection et à l’analyse. La charge utile GhostClaw masque son comportement grâce à un obscurcissement important et à une exécution par étapes, en déchiffrant les composants clés uniquement au moment de l’exécution et en supprimant les artefacts temporaires générés pendant le processus d’installation.
Les chercheurs de JFrog ont noté que la campagne marque un autre abus de la capacité de npm à exécuter des scripts d’installation. Ils ont conseillé aux développeurs de considérer comme suspects les packages npm qui demandent des informations d’identification système, exécutent des scripts de post-installation ou téléchargent des charges utiles externes lors de l’installation, et ont recommandé d’installer les outils de développement uniquement à partir de sources vérifiées ou officielles.
