Gefälschtes npm-Paket installiert RAT und stiehlt macOS-Zugangsdaten : Malware tarnt sich als Entwickler-Tool und greift Browserdaten, Wallets und Cloud-Zugänge ab
Ein manipuliertes npm-Paket tarnt sich als Installationsprogramm für ein KI-Tool und installiert unbemerkt einen Remote-Access-Trojaner. Die Malware greift Zugangsdaten, Wallets und Entwicklerkonten ab und verschafft Angreifern umfassenden Zugriff auf macOS-Systeme.
Ein neuer Vorfall zeigt erneut, wie attraktiv Software-Lieferketten für Cyberkriminelle geworden sind. Cybersicherheitsforscher haben ein bösartiges Paket in der Paketverwaltung npm entdeckt, das sich als Installationsprogramm für das Projekt OpenClaw ausgibt. Tatsächlich installiert das Paket jedoch eine komplexe Malware, die sensible Daten ausspäht und einen dauerhaften Fernzugriff auf das kompromittierte System ermöglicht.
Das Paket mit dem Namen „@openclaw-ai/openclawai“ wurde Anfang März 2026 von einem Nutzer namens „openclaw-ai“ in die Registrierungsdatenbank hochgeladen. Trotz der Schadfunktion wurde es bereits 178 Mal heruntergeladen und war zum Zeitpunkt der Analyse weiterhin verfügbar.
Wenn ein Entwickler-Tool zur Malware wird
Die Analyse des Sicherheitsunternehmens JFrog zeigt, dass das Paket darauf ausgelegt ist, eine große Bandbreite sensibler Daten zu stehlen und gleichzeitig einen Remote-Access-Trojaner zu installieren.
Der Angriff kombiniert Social Engineering mit einer technisch ausgefeilten Infrastruktur. „Der Angriff zeichnet sich durch seine umfassende Datenerfassung, den Einsatz von Social Engineering zum Abgreifen des Systemkennworts des Opfers und die Ausgereiftheit seiner Persistenz und Command-and-Control-Infrastruktur aus“, erklärt der Sicherheitsanalyst Meitar Palas.
Intern identifiziert sich die Schadsoftware als „GhostLoader“.
Zu den gestohlenen Daten gehören unter anderem:
- macOS-Keychain-Daten, einschließlich der lokalen login.keychain-db und iCloud-Keychain-Datenbanken
- Browserdaten aus Chromium-basierten Browsern, darunter Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, Yandex und Comet
- Anmeldedaten, Cookies, Kreditkarteninformationen und AutoFill-Daten
- Daten aus Kryptowährungs-Wallets und Browser-Erweiterungen
- Seed-Phrasen von Kryptowährungs-Wallets
- SSH-Schlüssel
- Cloud- und Entwicklerzugänge, etwa für AWS, Microsoft Azure, Google Cloud, Kubernetes, Docker und GitHub
- Konfigurationen von Agenten für künstliche Intelligenz
- Daten aus Apple-Diensten, darunter Apple Notes, iMessage-Verläufe, Safari-Browserverlauf, Mail-Konfigurationen und Apple-Kontoinformationen
Social Engineering während der Installation
Die bösartige Logik wird durch einen sogenannten Postinstall-Hook ausgelöst. Dieser sorgt dafür, dass sich das Paket automatisch mit dem Befehl „npm i -g @openclaw-ai/openclawai“ global re-installiert. Nach Abschluss der Installation verweist die OpenClaw-Binärdatei über die Eigenschaft „bin“ in der Datei „package.json“ auf „scripts/setup.js“.
Dabei ist wichtig zu verstehen, dass das Feld „bin“ dazu dient, ausführbare Dateien zu definieren, die während der Paketinstallation automatisch zum PATH des Nutzers hinzugefügt werden. Auf diese Weise wird das Paket zu einem global verfügbaren Kommandozeilenwerkzeug.
Das Installationsskript startet anschließend eine täuschend echte Kommandozeilenoberfläche mit animierten Fortschrittsanzeigen. Für den Nutzer sieht es so aus, als würde das angebliche OpenClaw-Tool korrekt eingerichtet.
Nach Abschluss der vermeintlichen Installation erscheint eine gefälschte iCloud-Keychain-Abfrage. Nutzer werden aufgefordert, ihr Systemkennwort einzugeben. Genau dieses Passwort erlaubt der Malware später den Zugriff auf geschützte Daten im macOS-Schlüsselbund.
Gleichzeitig ruft das Skript eine verschlüsselte JavaScript-Nutzlast der zweiten Stufe vom C2-Server („trackpipe[.]dev“) ab. Diese wird anschließend entschlüsselt, in eine temporäre Datei geschrieben und als separater Hintergrundprozess gestartet, der unabhängig weiterläuft. Die temporäre Datei wird nach 60 Sekunden gelöscht, um Spuren der Aktivität zu verwischen.
„Wenn auf das Safari-Verzeichnis nicht zugegriffen werden kann (kein vollständiger Festplattenzugriff), zeigt das Skript einen AppleScript-Dialog an, der den Nutzer auffordert, dem Terminal vollständigen Festplattenzugriff zu gewähren – inklusive Schritt-für-Schritt-Anleitung und einer Schaltfläche, die direkt die Systemeinstellungen öffnet“, erklärte JFrog. „Dadurch kann die Nutzlast der zweiten Stufe Apple Notes, iMessage, den Safari-Verlauf und Mail-Daten stehlen.“
Vollwertiges Spionage-Framework im Hintergrund
Die zweite Schadstufe besteht aus einem rund 11.700 Zeilen langen JavaScript-Framework mit umfangreichen Funktionen zur Spionage und Fernsteuerung. Dazu gehören unter anderem:
- Persistente Hintertür mit Remote-Zugriff
- SOCKS5-Proxy zur anonymen Netzwerkkommunikation
- Browser-Entschlüsselung und Datensammlung
- Überwachung laufender Prozesse
- Scannen von iMessage-Chats in Echtzeit
- Ausführung beliebiger Shell-Befehle vom Kontrollserver
Besonders gefährlich ist die Funktion zum Klonen von Browserprofilen. Dabei startet die Malware eine unsichtbare Chromium-Instanz mit dem bestehenden Browserprofil des Opfers. Cookies, Sitzungen und gespeicherte Logins bleiben erhalten. Angreifer können so eine vollständig authentifizierte Browsersitzung übernehmen, ohne die eigentlichen Zugangsdaten zu kennen.
Persistente Überwachung sensibler Daten
Nach der Installation überwacht die Malware dauerhaft das System. Unter anderem überprüft sie alle drei Sekunden die Zwischenablage des Computers auf sensible Daten. Dabei sucht sie gezielt nach Mustern wie:
- privaten kryptographischen Schlüsseln/WIF-Key
- Bitcoin- oder Ethereum-Adressen
- AWS- oder OpenAI-Zugangsschlüsseln
Gefundene Daten werden gesammelt, komprimiert und anschließend über mehrere Kanäle exfiltriert, darunter direkte Serververbindungen, Telegram-Bots und Dateiübertragungsdienste.
Lieferkettenangriffe auf Entwickler nehmen zu
Der Vorfall verdeutlicht wieder einmal die Risiken moderner Software-Lieferketten. Paketplattformen wie npm bilden eine zentrale Infrastruktur für Entwickler weltweit. Gleichzeitig bieten sie Angreifern eine attraktive Möglichkeit, Schadsoftware in Entwicklungsumgebungen einzuschleusen.
Wie die Analyse von JFrog zeigt, kombiniert das Paket „@openclaw-ai/openclawai“ Social Engineering, verschlüsselte Payload-Übertragung, umfassende Datenerfassung und eine persistente Hintertür in einem einzigen Paket.
Für Unternehmen bedeutet das: Die Überprüfung von Softwareabhängigkeiten und Installationsskripten wird zunehmend zu einem zentralen Bestandteil der Sicherheitsstrategie in der Softwareentwicklung.