Вредоносное ПО GhostClaw было выявлено как нацеленное на криптокошельки macOS, маскирующееся под пакет npm инструмента командной строки OpenClaw CLI. Загруженное пользователем "openclaw-ai" 3 марта и удалённое 10 марта, это вредоносное ПО заразило 178 разработчиков. После установки оно крадёт приватные ключи, доступ к кошелькам и конфиденциальные данные, включая пароли из связки ключей macOS (Keychain), облачные учетные данные, SSH-ключи и настройки ИИ. Оно сканирует буфер обмена каждые три секунды, чтобы захватывать приватные ключи, мнемоники и данные транзакций, используя вторую стадию полезной нагрузки — GhostLoader — для кражи данных и удалённого доступа. Украденные данные отправляются в Telegram, GoFile и на командные серверы. Кроме того, компания OX Security раскрыла ещё одну атаку, использующую GitHub для заманивания разработчиков поддельным предложением токенов CLAW на сумму $5,000, направляя их на поддельный сайт openclaw[.]ai для подключения кошельков, что приводит к краже средств. Атака связана с доменами token-claw[.]xyz и watery-compost[.]today, обе из которых используют методы социальной инженерии.