开源软件供应链再次拉响红色警报。JFrog安全研究团队近期披露了一起针对开发者群体的高精度攻击事件——攻击者将恶意代码封装进名为openclaw-ai/openclawai的npm包对外伪装成合法的OpenClaw CLI安装工具。该威胁内部代号为GhostLoader本质上是一套功能完整的信息窃取器叠加远程控制木马RAT的复合体能够在开发者毫无察觉的情况下完成凭证收割、数据外发与长期后门驻留。一、低可见度伪装为什么常规审计很难发现它这个恶意npm包在静态审查阶段几乎不会触发任何告警。它的package.json文件结构整洁src/index.js出口文件看起来完全正常且没有引入任何可疑的额外依赖。对于习惯快速扫一眼依赖列表就继续开发的工程师来说这包长得太安全了。真正的杀招藏在scripts目录里。postinstall钩子会在安装阶段静默执行全局安装把openclaw命令写进系统 PATH。当开发者后续在终端输入openclaw时触发的并不是正常的 CLI 工具而是经过高强度混淆的scripts/setup.js——第一阶段加载器。更狡猾的是运行后屏幕上会弹出一个带进度条、日志动画的安装界面仿真度极高。开发者以为自己在等待正常的软件初始化实际上混淆代码正在后台外联 C2 服务器trackpipe.dev准备下载下一阶段载荷。二、社会工程学升级伪造系统弹窗骗取root密码在载荷投递之前GhostLoader 会先玩一把心理战。它会弹出仿苹果钥匙串Keychain风格的系统提示框声称需要安全存储凭证并要求输入系统密码。更离谱的是这个弹窗调用了操作系统真实的认证接口做校验——macOS、Windows、Linux 全平台通吃。受害者输入密码后程序不仅拿到了明文口令还借正常认证行为的假象消解了用户的戒备心。拿到密码的同时setup.js开始解码内置的 XOR 加密 URL 与活动 ID向hxxps://trackpipe[.]dev发起请求拉取一段经 AES-256-GCM 加密的第二阶段载荷。解密后的 JavaScript 被写入/tmp/sys-opt-*.js这类临时文件在独立 Node 进程中执行并通过环境变量传递刚刚窃取的密码与活动标签NODE_AUTH_TOKENNODE_CHANNELcomplexarchaeologist1大约一分钟后这个临时文件会自动销毁极大增加了事后取证难度。三、攻击链拆解从一次npm install到长期后门第二阶段载荷GhostLoader本体是一个长达 11700 行的 CommonJS 模块。它的首要任务是建立持久化机制把自己伪装成npm 遥测服务潜伏下来表格平台持久化路径macOS / Linux~/.cache/.npm_telemetry/monitor.jsWindows%APPDATA%/.npm_telemetry/monitor.js为了保活它会向.zshrc、.bashrc、.bash_profile追加伪装成NPM Telemetry Integration Service的启动项在 Linux 上写入reboot定时任务同时用 PID 锁保证单例运行防止重复启动暴露行踪。C2 通信采用 JSON 格式响应包含payloadBase64 加密载荷与k十六进制解密密钥解密算法仍为 AES-256-GCM。首次上线后GhostLoader 会在 10 分钟内完成一轮高强度数据搜刮并通过 Telegram Bot 向攻击者发送新会话告警内容涵盖受害者的系统密码、主机名、IP、国家与设备配置。四、开发者成了高价值目标窃取清单触目惊心与泛用型木马不同GhostLoader 的攻击清单明显是为开发者量身定制的。除了常规的浏览器密码、Cookie 和支付信息它还会专门搜刮以下核心资产基础设施凭证SSH 私钥~/.ssh/目录AWS、Azure、GCP 云平台 Access KeyKuberneteskubeconfigDocker 配置与仓库凭证npm、Git 账号令牌GitHub CLI 主机配置加密货币资产主流钱包应用数据浏览器扩展助记词BIP-39Solana 密钥AI 智能体与项目数据ZeroClaw、PicoClaw、OpenClaw 目录下的智能体配置环境变量中的 API 密钥OpenAI、Stripe 等浏览器与系统深度数据macOS 与 iCloud 钥匙串Chromium、Firefox 存储的密码与 Cookie桌面、文档、下载目录中的敏感文件对于受苹果数据保护Data Protection限制的 Safari 数据如果当前权限不足GhostLoader 还会通过 AppleScript 诱导用户为终端授予完全磁盘访问权限甚至贴心地提供打开系统设置的按钮。一旦得手备忘录、iMessage、邮件、Safari 历史记录乃至苹果账号数据库全部沦陷。遇到无法直接通过 SQLite 提取的 Cookie 时这套木马还会启动无头 Chromium利用 Chrome DevTools ProtocolCDP通过--remote-debugging-port程序化导出全部会话状态。换句话说攻击者不需要知道你的密码就能直接接管你已登录的账号。所有窃取到的数据会被打包成[国家码]用户名_持久ID.tar.gz通过多重渠道外发小文件走 Telegram Bot API大文件上传 GoFile.io核心数据同步回传trackpipe.dev。攻击者的 Telegram 会收到一份格式化的 GhostLoader 报告汇总密码、支付信息、自动填充条目、钱包、助记词、SSH 密钥、权限状态、持久化方式与 AI 智能体信息一目了然。五、不止偷数据GhostLoader的RAT远程控制模式完成首轮搜刮后GhostLoader 并不会离场。后续每次启动它会切换为持久化 RAT 模式向 C2 面板注册上线并获取 Telegram 配置进入长期监控状态剪贴板实时监控每 3 秒扫描一次剪贴板专门抓取加密货币私钥、AWS 密钥、OpenAI / Stripe API 密钥以及助记词。指令轮询约每 25 秒带随机抖动向 C2 请求一次指令支持执行系统命令、更新载荷、重新采集数据、任意目录文件外发、启动/停止 SOCKS5 代理。浏览器会话克隆收到CLONE_START指令后复制完整浏览器配置并启动带远程调试的无头 Chromium将 CDP WebSocket 端口转发回 C2。攻击者可以直接在浏览器里操作受害者的已登录会话绕开所有密码验证。为了对抗安全分析GhostLoader 还内置了多重规避手段独立进程运行并伪装进程名、自动清理临时载荷、外发后清空窃取目录、支持NUKE自毁指令一键清除启动项与定时任务。这种用完即焚的设计让应急响应团队很难在现场提取到完整样本。六、企业如何防御与事后处置JFrog 已将openclaw-ai/openclawai纳入 Xray 与 Curation 的拦截名单使用其软件供应链安全产品的企业可在安装阶段自动阻断该包。对于尚未部署此类工具的团队建议从以下几个层面加固防线事前预防仅通过官方渠道安装 OpenClaw 等开发工具警惕名称相似或带额外后缀的包名。在 CI/CD 流水线中集成 SCA软件成分分析工具对postinstall脚本、全局安装行为与可疑网络请求实施强制审查。对请求系统密码、安装阶段下载远程加密载荷的 npm 包保持零容忍。事后清理如已安装检查并清理 Shell 配置文件.zshrc、.bashrc、.bash_profile中名为NPM Telemetry Integration Service的启动项。删除~/.cache/.npm_telemetry/或%APPDATA%/.npm_telemetry/目录终止monitor.js相关进程。检查系统定时任务crontab -l中标记为Node.js Telemetry Collection的条目并删除。卸载恶意包后强烈建议全盘重装系统。GhostLoader 的持久化机制与自毁逻辑复杂手工清理极易遗漏。轮换所有可能暴露的凭证SSH 密钥、云平台 Access Key、Git 令牌、API 密钥、钱包助记词。七、入侵指标IOC速查表表格指标类型具体内容恶意包名openclaw-ai/openclawai包类型NPM涉及版本1.5.15、1.5.14XRAY-IDXRAY-949975C2 域名hxxps[://]trackpipe[.]dev引导路径/t/bootstrap?tfafc0e77-9c1b-4fe1-bf7e-d24d2570e50e活动 IDcomplexarchaeologist1安装目录~/.cache/.npm_telemetry/执行文件monitor.js临时文件/tmp/sys-opt-*.jsShell 注释# NPM Telemetry Integration ServiceCron 注释# Node.js Telemetry Collection加密算法AES-256-GCM16 字节 IV 16 字节 TagIP 查询接口hxxps[://]ipinfo[.]io/json备用上传GoFile.io API数据外发通道Telegram Bot API、C2 面板环境变量NODE_AUTH_TOKEN、NODE_CHANNEL、NPM_CONFIG_TAG、GHOST_RECOLLECT、GHOST_TG_CONFIG这起事件再次印证了一个残酷现实攻击者正在把开源包管理器当成精准狙击开发者的武器平台。GhostLoader 之所以危险不仅在于技术层面的混淆与加密更在于它深度利用了开发者对工具链的天然信任。一次看似平常的npm install背后可能是一次完整的内网渗透起点。对于手握核心基础设施凭证的工程师来说保持对供应链安全的警觉早已不是可选项而是必修课。