Los investigadores de ciberseguridad han descubierto un paquete npm malicioso que se hace pasar por un Ley abierta instalador para implementar un troyano de acceso remoto (RAT) y robar datos confidenciales de los hosts comprometidos.

El paquete, denominado» @openclaw -ai/openclawai », fue subido al registro por un usuario llamado «openclaw-ai» el 3 de marzo de 2026. Se ha descargado 178 veces hasta la fecha. La biblioteca aún está disponible para su descarga al momento de escribir este artículo.

JFrog, que descubrió el paquete, dijo que está diseñado para robar las credenciales del sistema, los datos del navegador, las carteras criptográficas, las claves SSH, las bases de datos de Apple Keychain y el historial de iMessage, así como para instalar una RAT persistente con capacidades de acceso remoto, proxy SOCKS5 y clonación de sesiones de navegador en vivo.

«El ataque destaca por su amplia recopilación de datos, el uso de la ingeniería social para obtener la contraseña del sistema de la víctima y la sofisticación de su infraestructura de persistencia y C2 [comando y control]», dijo el investigador de seguridad Meitar Palas dijo . «Internamente, el malware se identifica a sí mismo como GhostLoader».

La lógica maliciosa se activa mediante un enlace posterior a la instalación, que reinstala el paquete globalmente usando el comando: «npm i -g @openclaw -ai/openclawai». Una vez finalizada la instalación, el binario de OpenClaw apunta a "scripts/setup.js" mediante la propiedad «bin» del archivo «package.json».

Vale la pena señalar que el» basura El campo «se usa para definir los archivos ejecutables que se deben agregar a la RUTA del usuario durante la instalación del paquete. Esto, a su vez, convierte el paquete en una herramienta de línea de comandos accesible a nivel mundial.

adsense

El archivo "setup.js" sirve como un dropper de primera etapa que, al ejecutarse, muestra una interfaz de línea de comandos falsa y convincente con barras de progreso animadas para dar la impresión de que OpenClaw se está instalando en el host. Una vez completado el supuesto paso de instalación, el script muestra un mensaje falso de autorización en el llavero de iCloud, en el que se pide a los usuarios que introduzcan la contraseña del sistema.

Al mismo tiempo, el script recupera una carga útil cifrada de JavaScript de segunda fase del servidor C2 («trackpipe [.] dev»), que luego se decodifica, se escribe en un archivo temporal y se genera como un proceso secundario independiente para seguir ejecutándose en segundo plano. El archivo temporal se elimina al cabo de 60 segundos para ocultar los rastros de la actividad.

«Si no se puede acceder al directorio de Safari (no hay acceso completo al disco), el guion muestra un cuadro de diálogo de AppleScript en el que se insta al usuario a conceder la FDA a Terminal, con instrucciones paso a paso y un botón que abre directamente las Preferencias del Sistema», explica JFrog. «Esto permite que la carga útil de la segunda fase robe datos de Apple Notes, iMessage, el historial de Safari y Mail».

La segunda etapa de JavaScript, con unas 11 700 líneas, es un completo marco RAT y robador de información que es capaz de persistir, recopilar datos, descifrar navegadores, comunicarse con C2, usar un proxy SOCKS5 y clonar navegadores en tiempo real. También está equipado para robar una amplia gama de datos -

  • macOS Keychain, incluidas las bases de datos login.keychain-db locales y todas las bases de datos de llaveros de iCloud
  • Credenciales, cookies, tarjetas de crédito y datos de relleno automático de todos los navegadores basados en Chromium, como Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, Yandex y Comet
  • Datos de aplicaciones de monederos de escritorio y extensiones de navegador
  • Frases iniciales para carteras de criptomonedas
  • Claves SSH
  • Credenciales de desarrollador y de nube para AWS, Microsoft Azure, Google Cloud, Kubernetes, Docker y GitHub
  • configuraciones de agentes de inteligencia artificial (IA) y
  • Datos protegidos por la FDA, incluidos Apple Notes, el historial de iMessage, el historial de navegación de Safari, las configuraciones de las cuentas de correo y la información de las cuentas de Apple

En la etapa final, los datos recopilados se comprimen en un archivo tar.gz y se filtran a través de varios canales, incluso directamente al servidor C2, la API de bots de Telegram y Gofile.io.

Además, el malware entra en un modo daemon persistente que le permite supervisar el contenido del portapapeles cada tres segundos y transmitir cualquier dato que coincida con uno de los nueve patrones predefinidos correspondientes a las claves privadas. Clave WIF , clave privada SOL, clave privada RSA, dirección BTC, dirección Ethereum, clave AWS, clave OpenAI y clave Strike.

enlaces

Otras funciones incluyen controlar los procesos en ejecución, analizar los chats entrantes de iMessage en tiempo real y ejecutar los comandos enviados desde el servidor C2 para ejecutar comandos de shell arbitrarios, abrir una URL en el navegador predeterminado de la víctima, descargar cargas adicionales, cargar archivos, iniciar o detener un proxy SOCKS5, enumerar los navegadores disponibles, clonar un perfil de navegador y ejecutarlo en modo headless, detener la clonación del navegador, autodestruirse y actualizarse solo.

La función de clonación del navegador es particularmente peligrosa, ya que lanza una instancia de Chromium independiente con el perfil del navegador existente que contiene cookies, datos de inicio de sesión e historial. Esto permite al atacante tener una sesión de navegador totalmente autenticada sin necesidad de acceder a las credenciales.

«El paquete @openclaw -ai/openclawai combina ingeniería social, entrega de carga cifrada, amplia recopilación de datos y una RAT persistente en un solo paquete npm», afirma JFrog.

«El elegante y falso instalador de la CLI y el indicador del llavero son lo suficientemente convincentes como para extraer las contraseñas del sistema de desarrolladores cautelosos y, una vez capturadas, esas credenciales desbloquean el descifrado del llavero de macOS y la extracción de las credenciales del navegador que, de otro modo, quedarían bloqueadas por las protecciones a nivel del sistema operativo».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.