كشف باحثون في الأمن السيبراني عن حزمة npm خبيثة تنتحل هوية مثبت OpenClaw، بهدف نشر حصان طروادة للتحكم عن بُعد (RAT) وسرقة بيانات حساسة من الأجهزة المصابة. الحزمة التي تحمل اسم @openclaw-ai/openclawai تم رفعها في 3 مارس 2026 من قبل مستخدم باسم “openclaw-ai”، وقد جرى تنزيلها 178 مرة حتى الآن وما زالت متاحة على السجل.
آلية التثبيت الخبيث
تستغل الحزمة خاصية postinstall hook لإعادة تثبيت نفسها بشكل عالمي باستخدام الأمر npm i -g @openclaw-ai/openclawai. بعد التثبيت، يشير ملف package.json إلى سكربت “setup.js” الذي يعمل كمرحلة أولى لإسقاط البرمجية الخبيثة. هذا السكربت يعرض واجهة مزيفة برسوم متحركة توحي بعملية تثبيت طبيعية، ثم يظهر نافذة مزيفة تطلب كلمة مرور النظام عبر محاكاة إذن iCloud Keychain، ما يسمح بسرقة بيانات الاعتماد مباشرة من المستخدم.
قدرات متقدمة لجمع البيانات
المرحلة الثانية من الهجوم تُحمّل حمولة مشفرة من خادم تحكم (C2) عبر نطاق “trackpipe[.]dev”، وتُنفذ في الخلفية كعملية منفصلة. هذه الحمولة، التي تضم أكثر من 11,700 سطر من الشيفرة، تعمل كإطار متكامل لجمع المعلومات والتحكم عن بُعد، وتشمل قدراتها:
- سرقة قواعد بيانات macOS Keychain المحلية والسحابية.
- استخراج كلمات المرور، الكوكيز، بيانات البطاقات، وبيانات الملء التلقائي من جميع المتصفحات المبنية على Chromium.
- سرقة بيانات محافظ العملات الرقمية (seed phrases).
- الحصول على مفاتيح SSH واعتمادات المطورين والخدمات السحابية مثل AWS وAzure وGoogle Cloud وKubernetes وDocker وGitHub.
- الوصول إلى بيانات محمية عبر Full Disk Access مثل ملاحظات Apple، رسائل iMessage، تاريخ Safari، وإعدادات البريد الإلكتروني.
أساليب الإخفاء والاستمرارية
بعد جمع البيانات، يتم ضغطها في ملف tar.gz وإرسالها عبر قنوات متعددة، منها خادم C2، واجهة Telegram Bot API، وخدمة GoFile.io. كما يدخل البرنامج في وضع خدمة دائمة (daemon mode) لمراقبة الحافظة كل ثلاث ثوانٍ، بحثاً عن أنماط محددة مثل المفاتيح الخاصة أو عناوين العملات الرقمية، ثم إرسالها مباشرة للمهاجمين.
خطورة استنساخ المتصفح
من أخطر ميزات الحزمة قدرتها على استنساخ جلسة المتصفح عبر تشغيل نسخة Chromium في وضع headless باستخدام ملفات تعريف المستخدم الأصلية. هذا يمنح المهاجم جلسة مصادقة كاملة تشمل الكوكيز وكلمات المرور وسجل التصفح، دون الحاجة إلى سرقة بيانات الاعتماد بشكل مباشر.
دلالات أمنية
أوضح الباحثون أن هذه الحملة تجمع بين الهندسة الاجتماعية، تحميل حمولة مشفرة، جمع واسع للبيانات، وآليات استمرارية متقدمة في حزمة npm واحدة. الواجهة المزيفة والرسائل المقنعة كافية لاستخراج كلمات مرور حتى من مطورين حذرين، ما يفتح الباب أمام اختراق عميق لأنظمة macOS وتجاوز طبقات الحماية المدمجة.
