ClawHosters ClawHosters
Gefälschtes npm-Paket greift OpenClaw-Nutzer mit GhostLoader RAT an
$ ./blog/news
Neuigkeiten

Gefälschtes npm-Paket greift OpenClaw-Nutzer mit GhostLoader RAT an

ClawHosters
ClawHosters von Daniel Samer
3 Min. Lesezeit

Ein Paket namens @openclaw-ai/openclawai war sieben Tage lang im npm Registry verfügbar. Vom 3. bis zum 10. März. 178 Downloads, bevor npm es entfernte. JFrog Security-Forscher haben das Paket entdeckt und diese OpenClaw npm Malware-Kampagne "GhostClaw" genannt. Die Malware nennt sich selbst GhostLoader.

Was das Paket gemacht hat

Der Angriff war gut gemacht. Nach npm install -g @openclaw-ai/openclawai bekam man eine überzeugende Fake-CLI mit animierten Fortschrittsbalken und Service-Startup-Meldungen. Sah aus wie eine echte OpenClaw-Installation.

Dann tauchte ein gefälschter macOS Keychain-Prompt auf. Identisch mit dem echten. Er hat sogar gegen die echte OS-Authentication-API validiert, mit "Authentication failed" bei falschen Versuchen. Bis zu fünf Mal.

Sobald GhostLoader das Systempasswort hatte, ging's los. Laut The Hacker News stiehlt die Malware macOS Keychain-Daten, Chromium-Browserdaten (Passwörter, Cookies, gespeicherte Karten), Crypto Wallets wie Exodus und MetaMask, SSH Keys, AWS/Azure/GCP Credentials, iMessage-Verläufe und Apple Notes.

Aber Credential-Diebstahl ist nur die Hälfte. GhostLoader installiert auch einen persistenten RAT mit Remote Shell, SOCKS5 Proxy und Live-Browser-Session-Cloning via Chrome DevTools Protocol. Der letzte Punkt ist der gefährliche. Er gibt dem Angreifer authentifizierten Zugriff auf jeden Service, in dem du eingeloggt bist. MFA wird komplett umgangen.

Der Namenstrick

Das Wichtige: Das offizielle OpenClaw npm-Paket heißt openclaw, installiert über npm install -g openclaw@latest. Kannst du in der offiziellen OpenClaw-Installationsanleitung nachprüfen.

Das Fake-Paket nutzte @openclaw-ai/openclawai. Zwei Unterschiede: der Scope @openclaw-ai/ und das -ai-Suffix im Paketnamen. Klingt plausibel genug, wenn man nicht genau hinschaut.

npm Uninstall reicht nicht

npm uninstall entfernt die Infektion nicht. GhostLoader kopiert sich nach ~/.cache/.npm_telemetry/monitor.js und fügt Shell Hooks in .zshrc, .bashrc und .bash_profile ein, getarnt als # NPM Telemetry Integration Service. Wer das Paket installiert hat, braucht manuelle Bereinigung und muss alle Credentials rotieren.

ClawHosters-Kunden sind nicht betroffen

Wenn du OpenClaw über ClawHosters nutzt, läuft deine Instanz via Docker auf unserer managed Infrastruktur. Nicht über ein lokales npm Install. Dieser Angriffsvektor betrifft managed Hosting-Kunden nicht.

Falls du OpenClaw auch lokal auf deinem eigenen Rechner betreibst, prüfe ob du jemals etwas aus dem @openclaw-ai-Scope installiert hast. Lies den Security Hardening Guide für Best Practices, oder starte mit Managed Hosting um lokale Installationsrisiken komplett zu vermeiden.

Vom OpenClaw-Projekt gibt's bisher keine offizielle Stellungnahme (Stand: 15. März 2026).

Häufig gestellte Fragen

Nein. Das offizielle Paket `openclaw` war nicht betroffen. Der Angreifer hat ein separates Fake-Paket unter dem Scope `@openclaw-ai/openclawai` erstellt. Wenn du OpenClaw mit `npm install -g openclaw@latest` installiert hast, bist du safe.

Nein. ClawHosters-Instanzen laufen via Docker auf managed Infrastruktur. Das Fake-Paket betrifft nur Rechner, auf denen jemand manuell `npm install -g @openclaw-ai/openclawai` ausgeführt hat. Deine gehostete Instanz war nie exponiert.

Entferne das versteckte Verzeichnis `~/.cache/.npm_telemetry/`, bereinige die Shell Hooks aus `.zshrc`/`.bashrc`/`.bash_profile`, und rotiere jedes Credential auf dem Rechner. Passwörter, SSH Keys, API Tokens, Crypto Wallet Seeds. Geh davon aus, dass alles exfiltriert wurde.
*Last updated: März 2026*

Quellen

  1. 1 JFrog Security-Forscher haben das Paket entdeckt
  2. 2 The Hacker News
  3. 3 offiziellen OpenClaw-Installationsanleitung
  4. 4 ClawHosters
  5. 5 Security Hardening Guide
  6. 6 starte mit Managed Hosting
$ ./related --posts