Pesquisadores de segurança cibernética identificaram um pacote malicioso no npm que se passa por um instalador do OpenClaw, com o objetivo de implantar um trojan de acesso remoto (RAT) e roubar dados sensíveis de sistemas comprometidos. Nomeado “@openclaw-ai/openclawai”, o pacote foi carregado por um usuário chamado “openclaw-ai” em 3 de março de 2026 e já foi baixado 178 vezes.
O pacote foi projetado para roubar credenciais de sistema, dados de navegadores, carteiras de criptomoedas, chaves SSH, bancos de dados do Apple Keychain e histórico do iMessage. Além disso, instala um RAT persistente com capacidades de acesso remoto, proxy SOCKS5 e clonagem de sessões de navegador ao vivo.
O ataque é acionado por um gancho de pós-instalação que reinstala o pacote globalmente. Após a instalação, um script exibe uma interface de linha de comando falsa e solicita a senha do sistema do usuário, enquanto baixa e executa um segundo estágio de carga útil JavaScript do servidor de comando e controle (C2).
O malware coleta uma vasta gama de dados, incluindo informações de navegadores baseados em Chromium, aplicativos de carteira de criptomoedas, credenciais de desenvolvedores e configurações de agentes de inteligência artificial. Os dados são compactados e exfiltrados através de múltiplos canais, como o servidor C2, API do Telegram Bot e GoFile.io.
O malware opera em modo daemon persistente, monitorando o conteúdo da área de transferência e executando comandos do servidor C2. Ele também pode clonar perfis de navegador, permitindo sessões autenticadas sem necessidade de credenciais.
Fonte:https://thehackernews.com/2026/03/malicious-npm-package-posing-as.html
