The Hacker News повідомив про шкідливий пакет npm “@openclaw-ai/openclawai”, завантажений 3 березня користувачем “openclaw-ai”. Він видає себе за інсталятор OpenClaw, але встановлює троян GhostLoader, який викрадає облікові дані, гаманці криптовалюти та інші файли з macOS. Пакет завантажили 178 разів, він досі доступний у реєстрі.

Це типова атака на ланцюжок постачання: фейковий пакет просувається в реєстрі npm, розробники встановлюють його для зручності. Троян дозволяє віддалений доступ, кейлогінг та виведення даних. Перевіряйте автора пакетів використовувати lock-файли, сканувати залежності. Для розробників на macOS, які працюють з ШІ та open-source, це особливо критична загроза.