Un recente studio di cybersecurity ha rivelato la scoperta di un pacchetto npm malevolo che si presenta come un installer di OpenClaw, progettato per distribuire un trojan di accesso remoto (RAT) e rubare dati sensibili dai sistemi compromessi. Il pacchetto, denominato “@openclaw-ai/openclawai”, è stato caricato il 3 marzo 2026 e ha già registrato 178 download. Questo malware è in grado di sottrarre credenziali di sistema, dati del browser, portafogli di criptovalute e altro, installando anche un RAT persistente con capacità di accesso remoto.
La logica malevola viene attivata tramite un hook postinstall, che reinstalla il pacchetto globalmente. Dopo un’apparente installazione, il malware mostra un’interfaccia di comando falsa per ingannare l’utente e richiede la password di sistema. Un secondo payload JavaScript, una volta eseguito, può rubare dati da Apple Notes, iMessage e cronologie di Safari, mentre un daemon persistente monitora continuamente il contenuto degli appunti per raccogliere informazioni sensibili.
Questo pacchetto combina ingegneria sociale, consegna di payload crittografati e ampie capacità di raccolta dati, rendendo il sistema vulnerabile a attacchi anche da sviluppatori cauti. La sofisticazione del malware e la sua capacità di eludere le protezioni di sistema lo rendono particolarmente pericoloso.
FONTE: [The Hacker News](https://thehackernews.com/)