Cybersecurityonderzoekers hebben een nieuwe reeks kwaadaardige npm-pakketten ontdekt die zijn ontworpen om cryptowallets en gevoelige gegevens te stelen. Deze activiteit wordt door ReversingLabs gevolgd onder de naam Ghost-campagne. De pakketten, gepubliceerd door een gebruiker met de naam mikilanjillo, bevatten onder andere react-performance-suite, react-state-optimizer-core en coinbase-desktop-sdk.

De pakketten misleiden gebruikers door phishing te gebruiken om het sudo-wachtwoord te verkrijgen, waarna de laatste fase van de aanval wordt uitgevoerd. Om detectie te voorkomen tonen de pakketten valse npm-installatielogs en voegen willekeurige vertragingen toe om een legitiem installatieproces na te bootsen. Tijdens de installatie verschijnt een foutmelding over ontbrekende schrijfrechten, waarna gebruikers worden gevraagd hun root- of beheerderswachtwoord in te voeren. Bij invoer wordt stilletjes een downloader opgehaald die via een Telegram-kanaal de URL en decryptiesleutel voor de uiteindelijke payload binnenhaalt.

De aanval eindigt met de installatie van een remote access trojan die data verzamelt, zich richt op cryptowallets en wacht op verdere instructies van een externe server. ReversingLabs meldt dat deze activiteit overeenkomsten vertoont met de eerder deze maand door JFrog gedocumenteerde GhostClaw-campagne, hoewel het onduidelijk is of het om dezelfde dreigingsactor gaat.

De GhostClaw-campagne maakt gebruik van GitHub-repositories en AI-ondersteunde workflows om credential-stealers op macOS te verspreiden. Deze repositories imiteren legitieme tools zoals trading bots en SDK's en bouwen vertrouwen op door aanvankelijk onschuldige code te bevatten. Vervolgens wordt via een shellscript een meerfasige infectie gestart die eindigt met het plaatsen van malware die systeemcredentials steelt en de GhostLoader malware installeert via een command-and-control server.