恶意npm包伪装开发者工具

近期出现针对软件开发者的高危恶意软件活动，一个名为@openclaw-ai/openclawai的恶意npm包伪装成可信开发者工具，暗中窃取凭证、加密钱包、SSH密钥、浏览器会话乃至iMessage聊天记录。该包自称"OpenClaw Installer"命令行安装程序，实则部署完全在后台运行的深度隐藏感染链。该恶意软件内部自称GhostLoader，但整个活动被追踪命名为GhostClaw。

精准锁定npm生态开发者

该恶意软件专门针对日常工作中使用npm生态系统的开发者。当开发者运行安装命令后，该包会通过postinstall钩子静默全局重装自身，确保恶意二进制文件进入系统PATH而不引起注意。随后二进制文件指向setup.js——这是启动完整感染链的混淆第一阶段投放器。这种欺骗手段充分显示攻击者如何精心设计GhostClaw，使其从一开始就与普通开发工具无异。

JFrog安全研究人员在2026年3月8日监控npm注册表可疑行为模式时发现了这个恶意npm包。研究员Meitar Palas详细记录了攻击全貌，包括其多阶段有效载荷架构、社会工程机制，以及能让攻击者长期隐蔽访问受感染开发者机器的持久远程访问框架。

跨平台数据窃取能力

GhostClaw最令人担忧的是其窃取数据的广泛性：从系统密码、macOS钥匙串数据库到AWS、GCP和Azure配置文件中的云凭证几乎无一幸免；还会扫描桌面文件夹寻找BIP-39加密货币种子短语，捕获多个基于Chromium浏览器保存的所有密码和信用卡信息，并在获得macOS全磁盘访问权限时窃取iMessage历史记录。

该攻击不限单一平台，GhostClaw可同等针对macOS、Linux和Windows开发者，并根据所在操作系统调整凭证验证方法。这种跨平台能力加上精心设计的规避和持久化技术，使其成为npm注册表近年来最完整、最危险的开发者定向威胁之一。

社会工程攻击核心

GhostClaw感染链最突出之处在于如何诱骗开发者主动交出系统密码。开发者运行安装命令后，第一阶段投放器setup.js会展示逼真的虚假CLI安装程序，包含动态进度条和仿真的系统日志输出。进度显示完成后，脚本立即弹出与原生macOS钥匙串授权提示完全相同的对话框，要求用户输入管理员密码以完成"安全保险库初始化"。

攻击者允许最多五次密码尝试，每次都会通过真实操作系统认证机制验证，错误输入会产生看似真实的失败提示。当受害者与对话框交互时，脚本会同时从攻击者C2服务器trackpipe[.]dev获取第二阶段有效载荷，使用服务器响应中提供的匹配密钥通过AES-256-GCM加密解密。完整解密的约11,700行JavaScript代码构成GhostLoader框架，随后将自己安装到伪装成常规npm遥测服务的隐藏目录深处，开始静默收集受感染机器上所有可获取的数据。

应急处置建议

安装该包的开发者应立即删除.npm_telemetry目录，检查~/.zshrc、~/.bashrc和~/.bash_profile等shell配置文件是否被注入钩子代码，终止所有正在运行的monitor.js进程，并完全卸载该包。所有凭证（包括系统密码、SSH密钥、AWS/GCP/Azure/OpenAI/Stripe/GitHub的API令牌，以及任何暴露的加密钱包种子短语）都必须立即轮换。应撤销Google、GitHub等平台上的所有活动浏览器会话以防止未授权访问。鉴于该恶意软件的深度嵌入特性，强烈建议对系统进行完整重镜像。