Phần mềm độc hại GhostClaw đã được xác định là nhắm vào các ví tiền điện tử trên macOS, giả danh như một gói công cụ CLI OpenClaw npm. Được tải lên bởi "openclaw-ai" vào ngày 3 tháng 3 và bị gỡ bỏ vào ngày 10 tháng 3, phần mềm độc hại này đã lây nhiễm cho 178 nhà phát triển. Khi được cài đặt, nó đánh cắp khóa riêng tư, quyền truy cập ví và dữ liệu nhạy cảm, bao gồm mật khẩu Keychain trên macOS, thông tin đăng nhập đám mây, khóa SSH và cấu hình AI. Nó quét clipboard mỗi ba giây để thu thập khóa riêng tư, cụm từ ghi nhớ và dữ liệu giao dịch, sử dụng payload giai đoạn hai, GhostLoader, để đánh cắp dữ liệu và truy cập từ xa. Dữ liệu bị đánh cắp được gửi đến Telegram, GoFile và các máy chủ lệnh. Ngoài ra, OX Security còn tiết lộ một cuộc tấn công khác sử dụng GitHub để dụ dỗ các nhà phát triển bằng lời đề nghị giả mạo token CLAW trị giá 5.000 đô la, hướng họ đến một trang web giả mạo openclaw[.]ai để kết nối ví, dẫn đến việc đánh cắp quỹ. Cuộc tấn công liên kết đến token-claw[.]xyz và watery-compost[.]today, cả hai đều dựa vào các chiến thuật kỹ thuật xã hội.