Serangan Peniruan Openclaw Mencuri Kata Sandi dan Data Dompet Crypto

Paket npm berbahaya yang menyamar sebagai installer untuk kerangka kerja agen kecerdasan buatan (AI) Openclaw menyebarkan malware pencuri kredensial yang dirancang untuk diam-diam mengendalikan mesin pengembang.

Peneliti Keamanan Ungkap Paket npm Openclaw Berbahaya

Peneliti keamanan mengatakan paket ini merupakan bagian dari serangan rantai pasokan yang ditujukan kepada pengembang yang bekerja dengan Openclaw dan alat AI serupa. Setelah diinstal, paket ini meluncurkan infeksi bertahap yang akhirnya menempatkan trojan akses jarak jauh yang dikenal sebagai Ghostloader.

Serangan ini diidentifikasi oleh JFrog Security Research dan diungkapkan antara 8 dan 9 Maret 2026. Menurut laporan perusahaan, paket ini muncul di registry npm pada awal Maret dan telah diunduh sekitar 178 kali hingga 9 Maret. Meskipun telah diungkapkan, paket ini tetap tersedia di npm saat laporan dibuat.

Sekilas, perangkat lunak ini tampak tidak berbahaya. Paket ini menggunakan nama yang mirip dengan alat resmi Openclaw dan menyertakan file Javascript serta dokumentasi yang tampak biasa. Peneliti mengatakan komponen yang terlihat tampak aman, sementara perilaku berbahaya dipicu selama proses instalasi.

Ketika siapa pun menginstal paket ini, skrip tersembunyi akan aktif secara otomatis. Skrip ini menciptakan ilusi installer baris perintah yang sah, menampilkan indikator kemajuan dan pesan sistem yang dirancang untuk meniru rutinitas pengaturan perangkat lunak yang nyata.

Selama urutan instalasi, program menampilkan prompt otorisasi sistem palsu yang meminta password komputer pengguna. Prompt ini mengklaim permintaan tersebut diperlukan untuk mengonfigurasi kredensial Openclaw secara aman. Jika password dimasukkan, malware mendapatkan akses tingkat tinggi ke data sistem yang sensitif.

Di balik layar, installer mengambil payload terenkripsi dari server command-and-control jarak jauh yang dikendalikan oleh penyerang. Setelah didekripsi dan dijalankan, payload tersebut menginstal trojan akses jarak jauh Ghostloader.

Peneliti mengatakan Ghostloader membangun keberlanjutan di sistem sambil menyamarkan dirinya sebagai layanan perangkat lunak rutin. Malware ini kemudian secara berkala menghubungi infrastruktur command-and-control-nya untuk menerima instruksi dari penyerang.

Trojan ini dirancang untuk mengumpulkan berbagai informasi sensitif. Menurut analisis JFrog, malware ini menargetkan basis data password, cookie browser, kredensial yang disimpan, dan penyimpanan otentikasi sistem yang mungkin berisi akses ke platform cloud, akun pengembang, dan layanan email.

Pengguna cryptocurrency mungkin menghadapi risiko tambahan. Malware ini mencari file terkait dompet crypto desktop dan ekstensi dompet browser, serta memindai folder lokal untuk seed phrase atau informasi pemulihan dompet lainnya.

Alat ini juga memantau aktivitas clipboard dan dapat mengumpulkan kunci SSH serta kredensial pengembangan yang umum digunakan oleh insinyur untuk mengakses infrastruktur jarak jauh. Para ahli keamanan mengatakan kombinasi ini membuat sistem pengembang menjadi target yang sangat menarik karena mereka sering menyimpan kredensial ke lingkungan produksi.

Selain pencurian data, Ghostloader menyertakan kemampuan akses jarak jauh yang memungkinkan penyerang menjalankan perintah, mengambil file, atau mengarahkan lalu lintas jaringan melalui sistem yang terinfeksi. Peneliti mengatakan fitur ini secara efektif mengubah mesin yang terinfeksi menjadi pijakan di dalam lingkungan pengembang.

Perangkat lunak berbahaya ini juga menginstal mekanisme keberlanjutan sehingga secara otomatis memulai kembali setelah reboot sistem. Mekanisme ini biasanya melibatkan direktori tersembunyi dan modifikasi pada konfigurasi startup sistem.

Peneliti JFrog mengidentifikasi beberapa indikator terkait kampanye ini, termasuk file sistem mencurigakan yang terkait dengan layanan “npm telemetry” dan koneksi ke infrastruktur yang dikendalikan oleh penyerang.

Analis keamanan siber mengatakan insiden ini mencerminkan tren yang berkembang dari serangan rantai pasokan yang menargetkan ekosistem pengembang. Seiring kerangka kerja AI dan alat otomatisasi semakin populer, penyerang semakin sering menyamarkan malware sebagai utilitas pengembang yang berguna.

Pengembang yang telah menginstal paket ini disarankan untuk segera menghapusnya, memeriksa konfigurasi startup sistem, menghapus direktori telemetry mencurigakan, dan mengganti password serta kredensial yang disimpan di mesin yang terpengaruh.

Para ahli keamanan juga menyarankan untuk hanya menginstal alat pengembang dari sumber yang diverifikasi, memeriksa paket npm dengan cermat sebelum instalasi global, dan menggunakan alat pemindaian rantai pasokan untuk mendeteksi dependensi yang mencurigakan.

Proyek Openclaw sendiri belum dikompromikan, dan para peneliti menekankan bahwa serangan ini bergantung pada impersonasi kerangka kerja melalui nama paket yang menipu daripada mengeksploitasi perangkat lunak resmi.

FAQ 🔎

• Apa itu paket npm Openclaw berbahaya? Paket ini menyamar sebagai installer OpenClaw dan diam-diam menginstal malware GhostLoader.
• Apa yang dicuri oleh malware Ghostloader? Malware ini mengumpulkan password, kredensial browser, data dompet crypto, kunci SSH, dan kredensial layanan cloud.
• Siapa yang paling berisiko terkena serangan malware npm ini? Siapa saja yang menginstal paket ini, terutama yang menggunakan kerangka kerja AI atau alat dompet crypto, mungkin telah mengekspos kredensial mereka.
• Apa yang harus dilakukan jika sudah menginstal paket ini? Segera hapus, periksa file startup sistem, hapus direktori mencurigakan, dan ganti semua kredensial sensitif.