近日,一款名为 GhostClaw 的恶意软件针对 macOS 加密钱包用户展开攻击。该软件伪装成合法的 OpenClaw CLI 工具在 npm 注册表中传播,感染了178名开发者,并于 3 月 10 日被移除。GhostClaw 的传播方式和隐蔽性凸显了开发者和钱包用户面临的链上资产安全威胁。
恶意软件运行机制
用户在执行 npm install 命令时,隐藏脚本会全局安装 GhostClaw 包,并利用混淆配置文件规避安全检测。软件每三秒扫描剪贴板,窃取私钥、助记词、公钥等敏感数据。第二阶段通过 GhostLoader 扫描 Chromium 浏览器、macOS 钥匙串及系统存储中的钱包数据,甚至克隆浏览器会话获取已登录钱包访问权限。
数据窃取与传输路径
被窃取的数据会通过 Telegram、GoFile 和命令服务器传输至攻击者手中。攻击还包括窃取连接 AI 平台的 API Token,使攻击者能够操控用户相关服务,进一步增加资产风险。
KYT 交易监控在安全防护中的作用
Trustformer KYT 交易监控系统通过实时链上分析和异常行为检测,可以识别未授权的资金流动路径,即使用户钱包私钥已被泄露,KYT 仍可追踪异常转账和高风险地址。系统可提供动态风险评分和实时预警,帮助机构和个人尽早发现潜在攻击。
提升 macOS 用户链上资产安全
用户在使用 CLI 工具和 npm 包时应严格验证来源,避免下载未知或未经验证的软件。结合 KYT 链上监控系统,可有效提升数字资产防护能力,降低因恶意软件导致的资产损失风险。
结语
GhostClaw 事件再次提醒行业,链上资产安全不仅依赖用户操作谨慎,还需结合 KYT 实时监控和行为分析来识别异常资金流。通过 Trustformer KYT 的多链追踪与风险评分功能,可在恶意操作发生前及时预警,保障数字资产生态安全。