برنامج "جراد البحر" الخبيث GhostClaw يسرق بيانات محافظ العملات المشفرة للمطورين، 178 شخصاً مصاباً بالعدوى

تحديثات TechFlow، في 23 مارس، وفقًا لتقارير CryptoNews، هاجم برنامج خبيث يُدعى GhostClaw مؤخرًا محافظ التشفير على نظام macOS، مع التركيز بشكل رئيسي على فئة المطورين.

تم رفع هذا البرنامج الخبيث على شكل حزمة تثبيت مزورة لـ OpenClaw CLI على سجل npm، باسم المستخدم openclaw-ai، وبدأت في 3 مارس، ثم أُزيلت في 10 مارس، وخلال تلك الفترة أصيب بها 178 مطورًا. بعد التثبيت، يقوم البرنامج الخبيث بإقناع المستخدمين بإدخال كلمة مرور macOS للحصول على صلاحيات النظام، ثم يقوم بتنزيل الحمولة المرحلة الثانية GhostLoader من خادم التحكم والسيطرة (C2) عن بعد، لتنفيذ سرقة البيانات والوصول عن بعد.

يستطيع GhostLoader مسح متصفحات Chromium، وKeychain الخاص بـ macOS، والتخزين المحلي، لاستخراج المفاتيح الخاصة، والعبارات الاستدلالية، ومفاتيح SSH، وبيانات الاعتماد السحابية، ورموز واجهات برمجة التطبيقات (API) لمنصات الذكاء الاصطناعي، كما يراقب الحافظة كل 3 ثوانٍ لالتقاط البيانات الحساسة المتعلقة بالتشفير. تُنقل البيانات المسروقة عبر Telegram وGoFile وخادم الأوامر إلى المهاجمين.