Software malicioso "Lagosta" GhostClaw rouba dados de carteira cripto de programadores, 178 pessoas infetadas

Deep Tide TechFlow informa que, em 23 de março, de acordo com a CryptoNews, um malware chamado GhostClaw atacou recentemente carteiras de criptomoedas no sistema macOS, tendo como principal alvo os desenvolvedores.

Este malware foi carregado na loja npm como um pacote falso de instalação do OpenClaw CLI, com o nome de utilizador openclaw-ai. Foi lançado a 3 de março, removido a 10 de março, tendo infectado um total de 178 desenvolvedores nesse período. Após a instalação, o programa malicioso induz o utilizador a inserir a sua senha do macOS para obter permissões do sistema, e posteriormente descarrega a carga útil de segunda fase GhostLoader a partir de um servidor de comando e controlo (C2), realizando roubo de dados e acesso remoto.

O GhostLoader consegue escanear o navegador Chromium, o Keychain do macOS e armazenamento local, extraindo chaves privadas, frases de recuperação, chaves SSH, credenciais de nuvem e tokens API de plataformas de IA. Além disso, monitora a área de transferência a cada 3 segundos para capturar dados sensíveis relacionados com criptografia. Os dados roubados são transmitidos para os atacantes via Telegram, GoFile e servidores de comando.