慢霧CISO:警惕惡意 npm 套件"@openclaw-ai/openclawai",其竊取加密錢包私鑰及系統憑證
深潮 TechFlow 訊息,3 月 10 日,據慢霧科技首席資訊安全官 23pds 披露,情報系統發現名為"@openclaw-ai/openclawai"的惡意 npm 包正在實施多層攻擊。 該惡意套件偽裝成名為 OpenClaw Installer 的合法命令列工具,旨在竊取用戶敏感訊息,包括系統憑證、加密錢包私鑰、瀏覽器資料、SSH 金鑰以及 Apple Keychain 資料庫等。
