GhostClawマルウェアは、macOSの暗号通貨ウォレットを標的とし、OpenClaw CLIツールのnpmパッケージを装っていることが確認されました。3月3日に「openclaw-ai」によってアップロードされ、3月10日に削除されたこのマルウェアは、178人の開発者に感染しました。インストールされると、プライベートキー、ウォレットアクセス、macOSのキーチェーンパスワード、クラウド認証情報、SSHキー、AI設定などの機密データを盗みます。3秒ごとにクリップボードをスキャンしてプライベートキー、ニーモニック、取引データを取得し、第2段階のペイロードであるGhostLoaderを使用してデータの窃盗とリモートアクセスを行います。盗まれたデータはTelegram、GoFile、およびコマンドサーバーに送信されます。 さらに、OX Securityは、GitHubを利用して開発者を偽の5,000ドル相当のCLAWトークンのオファーで誘い、偽のopenclaw[.]aiサイトに誘導してウォレットを接続させ、資金を盗む別の攻撃を明らかにしました。この攻撃はtoken-claw[.]xyzおよびwatery-compost[.]todayにリンクしており、いずれもソーシャルエンジニアリングの手法に依存しています。