Le malware GhostClaw a été identifié comme ciblant les portefeuilles crypto sur macOS, se faisant passer pour un paquet npm de l'outil CLI OpenClaw. Téléversé par "openclaw-ai" le 3 mars et retiré le 10 mars, le malware a infecté 178 développeurs. Une fois installé, il vole les clés privées, l'accès aux portefeuilles et des données sensibles, y compris les mots de passe du trousseau macOS, les identifiants cloud, les clés SSH et les configurations d'IA. Il scanne le presse-papiers toutes les trois secondes pour capturer les clés privées, les mnémoniques et les données de transaction, utilisant une charge utile de deuxième étape, GhostLoader, pour le vol de données et l'accès à distance. Les données volées sont envoyées à Telegram, GoFile et des serveurs de commande. De plus, OX Security a révélé une autre attaque utilisant GitHub pour attirer les développeurs avec une fausse offre de jetons CLAW à 5 000 $, les dirigeant vers un site openclaw[.]ai contrefait pour connecter leurs portefeuilles, ce qui conduit au vol de fonds. L'attaque est liée aux sites token-claw[.]xyz et watery-compost[.]today, tous deux reposant sur des tactiques d'ingénierie sociale.