GhostClaw/GhostLoader : campagne infostealer macOS via GitHub et workflows IA
đ Contexte PubliĂ© le 20 mars 2026 par Jamf Threat Labs (Thijs Xhaflaire), cet article dĂ©taille lâextension de la campagne GhostClaw/GhostLoader, initialement documentĂ©e par JFrog Security Research dĂ©but mars 2026. Jamf a identifiĂ© au moins huit nouveaux Ă©chantillons et des vecteurs dâinfection inĂ©dits via des dĂ©pĂŽts GitHub malveillants. đŻ Vecteurs dâinfection Deux mĂ©thodes de distribution parallĂšles ont Ă©tĂ© observĂ©es : DĂ©pĂŽts GitHub malveillants : impersonnent des outils lĂ©gitimes (trading bots, SDKs, utilitaires dĂ©veloppeurs). Certains dĂ©pĂŽts affichent plusieurs centaines dâĂ©toiles (ex. TradingView-Claw : 386 Ă©toiles). Les dĂ©pĂŽts sont dâabord peuplĂ©s de code bĂ©nin avant introduction de composants malveillants. Workflows IA (OpenClaw) : des fichiers SKILL.md ciblent les agents de dĂ©veloppement IA qui installent automatiquement des âskillsâ depuis GitHub. Le comportement malveillant est dĂ©clenchĂ© lors de la phase dâinstallation (install.sh). âïž ChaĂźne dâexĂ©cution multi-Ă©tapes Bootstrap (install.sh) : rĂ©cupĂšre et exĂ©cute le script initial, installe Node.js dans un rĂ©pertoire utilisateur (sans privilĂšges Ă©levĂ©s), utilise curl -k (TLS dĂ©sactivĂ©). Vol de credentials (setup.js) : script JavaScript fortement obfusquĂ©. Affiche de faux indicateurs de progression, prĂ©sente une fausse invite de mot de passe en terminal, valide les credentials via dscl . -authonly. Utilise AppleScript pour des dialogues natifs imitant des prompts macOS. Demande lâaccĂšs Full Disk Access (FDA). RĂ©cupĂ©ration du payload secondaire : contacte le C2 trackpipe[.]dev avec un UUID unique par dĂ©pĂŽt, reçoit un payload chiffrĂ©, le dĂ©chiffre et lâĂ©crit dans /tmp/sys-opt-{random}.js, puis lâexĂ©cute en processus dĂ©tachĂ©. Persistance : le payload secondaire (GhostLoader) se relocalise dans ~/.cache/.npm_telemetry/monitor.js. Anti-forensics (postinstall.js) : efface le terminal, installe le package npm antigravity (package lĂ©gitime ancien, utilisĂ© comme leurre), affiche des messages de succĂšs factices. đ Infrastructure C2 Domaine unique partagĂ© : trackpipe.dev Identifiants UUID distincts par dĂ©pĂŽt pour segmenter lâactivitĂ© Variable dâenvironnement NODE_CHANNEL transmise au payload secondaire đ Campagnes connexes Lâarticle mentionne des campagnes similaires rĂ©centes : Glassworm et PolinRider, utilisant des techniques analogues de supply chain logicielle. ...