任务编号: LOB-20260310-002
来源: JFrog Security / MistEye 情报
整理时间: 2026-03-10 20:10
一、核心结论
- 恶意包名:
@openclaw-ai/openclawai - 伪装身份: “OpenClaw Installer”
- 攻击代号: GhostLoader / GhostClaw
- 状态: 已在 npm 上线,正在活跃攻击
本服务器状态: ✅ 安全 — 安装的是官方 openclaw@2026.3.8,非恶意包
二、攻击链(4 阶段)
| 阶段 | 动作 | 技术 |
|---|---|---|
| 1. 初始感染 | npm i -g @openclaw-ai/openclawai | postinstall 钩子静默重装 |
| 2. 伪装安装 | 显示假 CLI 安装进度条 + 动画 | 高度混淆 JS |
| 3. 凭证钓鱼 | 弹出假 Keychain 授权框,骗取系统密码 | 调用真实 OS 验证 API |
| 4. 远程控制 | 从 C2 下载第二阶段载荷,安装 RAT | AES-256-GCM 解密 + 持久化 |
三、窃取目标
- 系统凭证(macOS Keychain / Windows 凭据管理器)
- 加密钱包私钥(MetaMask 等)
- 浏览器数据(Cookie、密码、历史)
- SSH 密钥
- iMessage 历史记录
- Apple Keychain 数据库
RAT 能力
- SOCKS5 代理
- 实时浏览器会话克隆
- 全远程访问
四、C2 基础设施
- 域名:
trackpipe.dev - 端点:
/t/bootstrap?t=<UUID> - 加密: AES-256-GCM(密钥从 C2 动态获取)
五、自查清单
# 检查是否安装了恶意包
npm list -g @openclaw-ai/openclawai
# 检查 openclaw 二进制来源
which openclaw
cat $(which openclaw) | head -20
# 官方包名是 "openclaw",不是 "@openclaw-ai/openclawai"
npm list -g openclaw
如果发现恶意包
- 立即卸载:
npm uninstall -g @openclaw-ai/openclawai - 修改系统密码
- 检查 SSH 密钥是否泄露
- 检查加密钱包
- 全盘扫描
六、本服务器验证结果
| 检查项 | 结果 |
|---|---|
| 安装来源 | ✅ 官方 npm(openclaw@2026.3.8) |
| 二进制路径 | ✅ /root/.nvm/versions/node/v22.22.0/bin/openclaw |
| 版本 | ✅ OpenClaw 2026.3.8 (3caab92) |
| 恶意包检查 | ✅ 未安装 @openclaw-ai/openclawai |
七、风险与下一步
- 风险等级: 🔴 高(针对 OpenClaw 用户的定向攻击)
下一步行动
- 团队内广播此告警
- 检查所有运行 OpenClaw 的服务器
- 确认安装来源仅限
npm install -g openclaw(官方包名)