Исследователи в области кибербезопасности обнаружили зловредный пакет npm, который, выдавая себя за установщик OpenClaw, устанавливает троян удаленного доступа (RAT) и крадет конфиденциальные данные пользователей macOS. Пакет под названием @openclaw-ai/openclawai был загружен 3 марта 2026 года и на данный момент скачан 178 раз.
Обширная угроза кибербезопасности
Согласно компании JFrog, этот зловредный пакет предназначен для кражи системных учетных данных, включая данные из браузеров, криптовалютных кошельков, SSH-ключей и истории iMessage. Атакующий использует обширную логику для внедрения RAT с возможностью удаленного доступа и прокси-сервера SOCKS5.
Работа вредоносного ПО
Безопасность системы нарушается через механизм постинсталляционного хука, который повторно устанавливает пакет глобально с помощью команды npm i -g @openclaw-ai/openclawai. После инсталляции исполняемый файл OpenClaw ссылается на scripts/setup.js, который отображает поддельный интерфейс установки. Когда процесс завершен, пользователям показывают фейковое окно ввода пароля iCloud, тем самым похищая их системные пароли.
Рекомендации для пользователей
Для разработчиков и пользователей macOS это серьезный сигнал: зловредные пакеты могут скрываться под видом публичных библиотек npm. Это подчеркивает необходимость строгого анализа используемого программного обеспечения в ваших проектах и большую бдительность при работе с npm-контентом, что станет ключевым аспектом в обеспечении кибербезопасности.