GhostClaw-Malware stiehlt Krypto-Daten von Mac-Entwicklern

Eine gefährliche Malware namens "GhostClaw" hat über die npm-Registrierung Dutzende macOS-Entwickler angegriffen. Das Schadprogramm tarnte sich als legitimes Kommandozeilen-Tool und stahl sensible Krypto-Wallet-Daten, Passwörter und KI-API-Tokens. Insgesamt waren 178 Entwickler betroffen.

Ob Passwörter, Krypto-Wallets oder sensible API-Zugänge – Hacker haben es zunehmend auf die privaten Daten unserer digitalen Alltagsbegleiter abgesehen. Dieser kostenlose Ratgeber zeigt Ihnen, mit welchen 5 einfachen Maßnahmen Sie Ihre Daten wirksam vor Diebstahl und Schadsoftware schützen. Gratis-Sicherheitspaket jetzt kostenlos anfordern

So funktionierte der getarnte Angriff

Die Angreifer luden ein gefälschtes "OpenClaw CLI"-Paket unter dem Nutzernamen "openclaw-ai" auf npm hoch. Entwickler, die es installierten, lösten eine mehrstufige Attacke aus. Ein verstecktes Skript installierte sich global und forderte das macOS-Passwort über eine gefälschte Keychain-Abfrage an.

Nach erfolgreicher Infektion lud die Malware eine zweite Stufe namens "GhostLoader" von einem externen Server. Diese ermöglichte umfassenden Datenklau und Fernzugriff. Erbeutet wurden private Schlüssel, Seed-Phrasen, Cloud-Anmeldedaten, SSH-Schlüssel und Konfigurationsdateien für KI-Agenten.

KI-Tokens und Browser-Sitzungen im Visier

Besonders brisant: GhostClaw stahl auch API-Tokens für Plattformen wie OpenAI und Anthropic. Die Malware überwachte zudem die Zwischenablage alle drei Sekunden, um Krypto-Daten abzufangen, und klonte aktive Browser-Sitzungen. So erhielten Angreifer direkten Zugriff auf eingeloggte Wallets.

Die gestohlenen Daten schickte die Malware über Telegram, GoFile und spezielle Kommando-Server an die Kriminellen. Das Paket war zwischen dem 3. und 10. März verfügbar, bevor Sicherheitsexperten es entfernten.

Apple warnt vor weiteren Exploit-Kits

Der Angriff passt in ein bedrohliches Gesamtbild. Apple selbst warnte kürzlich vor zwei weiteren Exploit-Kits namens "Coruna" und "DarkSword". Diese infizieren Geräte über manipulierte Webseiten – DarkSword extrahiert dabei innerhalb weniger Minuten Krypto-Zugänge.

Sicherheitsforscher beobachten eine deutliche Zunahme von Infostealern für macOS. Eine parallele Kampagne nutzt gefälschte Installationsanleitungen für KI-Tools wie "Claude Code", um Schadsoftware zu verbreiten. Die Namensgleichheit mit "Openclaw" ist dabei kein Zufall.

Während sich viele Nutzer auf automatische Updates verlassen, nutzen Cyberkriminelle oft unterschätzte Sicherheitslücken für gezielte Angriffe aus. Erfahren Sie in diesem kompakten Leitfaden, wie Sie mit geprüften Checklisten und sofort umsetzbaren Tipps eine häufige Schwachstelle schließen. Kostenlosen Sicherheits-Leitfaden hier herunterladen

Warum Entwickler besonders gefährdet sind

Die Attacke zeigt ein grundsätzliches Problem: Entwickler sind attraktive Ziele, da sie oft Zugangsschlüssel zu kritischen Systemen und Projekten verwalten. Eine Kompromittierung kann daher kaskadierende Effekte haben. Die Wahl von npm als Verbreitungsweg untergräbt zudem das Vertrauen in Open-Source-Ökosysteme.

Die gestohlenen KI-API-Tokens eröffnen eine neue Dimension der Bedrohung. Ihr Missbrauch könnte weitreichende Konsequenzen für KI-gesteuerte Anwendungen haben.

Wie können sich Entwickler schützen?

Experten raten zu sofortiger Installation aller Sicherheitsupdates. Apple hat mit "Background Security Improvements" bereits ein Framework für gezielte Updates zwischen großen Releases eingeführt. Entscheidend ist zudem größte Vorsicht bei Paketen von Drittanbietern.

Hardware-Wallets für Kryptowährungen, Multi-Faktor-Authentifizierung und regelmäßige Überprüfung von Berechtigungen minimieren das Risiko. Das Bewusstsein für Phishing-Versuche, die sich als legitime Tools tarnen, ist der beste Schutz gegen Bedrohungen wie GhostClaw.

boerse | 68965225 |