🔍 Contexte

PubliĂ© le 20 mars 2026 par Jamf Threat Labs (Thijs Xhaflaire), cet article dĂ©taille l’extension de la campagne GhostClaw/GhostLoader, initialement documentĂ©e par JFrog Security Research dĂ©but mars 2026. Jamf a identifiĂ© au moins huit nouveaux Ă©chantillons et des vecteurs d’infection inĂ©dits via des dĂ©pĂŽts GitHub malveillants.

🎯 Vecteurs d’infection

Deux méthodes de distribution parallÚles ont été observées :

  • DĂ©pĂŽts GitHub malveillants : impersonnent des outils lĂ©gitimes (trading bots, SDKs, utilitaires dĂ©veloppeurs). Certains dĂ©pĂŽts affichent plusieurs centaines d’Ă©toiles (ex. TradingView-Claw : 386 Ă©toiles). Les dĂ©pĂŽts sont d’abord peuplĂ©s de code bĂ©nin avant introduction de composants malveillants.
  • Workflows IA (OpenClaw) : des fichiers SKILL.md ciblent les agents de dĂ©veloppement IA qui installent automatiquement des “skills” depuis GitHub. Le comportement malveillant est dĂ©clenchĂ© lors de la phase d’installation (install.sh).

⚙ ChaĂźne d’exĂ©cution multi-Ă©tapes

  1. Bootstrap (install.sh) : récupÚre et exécute le script initial, installe Node.js dans un répertoire utilisateur (sans privilÚges élevés), utilise curl -k (TLS désactivé).
  2. Vol de credentials (setup.js) : script JavaScript fortement obfusquĂ©. Affiche de faux indicateurs de progression, prĂ©sente une fausse invite de mot de passe en terminal, valide les credentials via dscl . -authonly. Utilise AppleScript pour des dialogues natifs imitant des prompts macOS. Demande l’accĂšs Full Disk Access (FDA).
  3. RĂ©cupĂ©ration du payload secondaire : contacte le C2 trackpipe[.]dev avec un UUID unique par dĂ©pĂŽt, reçoit un payload chiffrĂ©, le dĂ©chiffre et l’Ă©crit dans /tmp/sys-opt-{random}.js, puis l’exĂ©cute en processus dĂ©tachĂ©.
  4. Persistance : le payload secondaire (GhostLoader) se relocalise dans ~/.cache/.npm_telemetry/monitor.js.
  5. Anti-forensics (postinstall.js) : efface le terminal, installe le package npm antigravity (package légitime ancien, utilisé comme leurre), affiche des messages de succÚs factices.

🌐 Infrastructure C2

  • Domaine unique partagĂ© : trackpipe.dev
  • Identifiants UUID distincts par dĂ©pĂŽt pour segmenter l’activitĂ©
  • Variable d’environnement NODE_CHANNEL transmise au payload secondaire

🔗 Campagnes connexes

L’article mentionne des campagnes similaires rĂ©centes : Glassworm et PolinRider, utilisant des techniques analogues de supply chain logicielle.

📄 Type d’article

Analyse technique publiĂ©e par Jamf Threat Labs, visant Ă  documenter les TTP, l’infrastructure et les IOCs de la campagne GhostClaw/GhostLoader pour la communautĂ© CTI.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1566.003 — Phishing: Spearphishing via Service (Initial Access)
  • T1056.002 — Input Capture: GUI Input Capture (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1070.003 — Indicator Removal: Clear Command History (Defense Evasion)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1547 — Boot or Logon Autostart Execution (Persistence)
  • T1564.001 — Hide Artifacts: Hidden Files and Directories (Defense Evasion)
  • T1548.004 — Abuse Elevation Control Mechanism: Elevated Execution with Prompt (Privilege Escalation)

IOC

  • Domaines : trackpipe.dev
  • URLs : https://trackpipe.dev
  • Fichiers : install.sh
  • Fichiers : setup.js
  • Fichiers : postinstall.js
  • Fichiers : monitor.js
  • Fichiers : SKILL.md
  • Chemins : /tmp/sys-opt-{random}.js
  • Chemins : ~/.cache/.npm_telemetry/monitor.js

Malware / Outils

  • GhostClaw (stealer)
  • GhostLoader (loader)

🔗 Source originale : https://www.jamf.com/blog/ghostclaw-ghostloader-malware-github-repositories-ai-workflows/