GhostClaw rouba dados de carteiras cripto de desenvolvedores

O pacote npm @openclaw-ai/openclawai, carregado em 3 de março e ativo por uma semana antes de ser removido, infectou 178 desenvolvedores no macOS ao se passar por uma ferramenta legítima CLI OpenClaw. Ele usou o GhostLoader, um payload JavaScript de segunda etapa recuperado de um servidor C2, para coletar chaves de carteiras cripto, senhas do macOS Keychain, chaves SSH, credenciais de nuvem e tokens de API de plataformas de IA como OpenAI e Anthropic. O GhostLoader verificava a área de transferência a cada três segundos em busca de chaves privadas e frases-senha, clonava sessões de navegador para acesso direto a carteiras e exfiltrava dados roubados via Telegram, GoFile e servidores de comando controlados por atacantes. Simultaneamente, uma campanha baseada no GitHub marcava desenvolvedores em threads de issues com falsas ofertas de airdrop do token CLAW de $5,000, redirecionando vítimas através de token-claw[.]xyz para um site de phishing em watery-compost[.]today que drenava carteiras na conexão.