Des chercheurs en cybersécurité ont découvert un package npm malveillant qui se fait passer pour un installateur OpenClaw afin de déployer un cheval de Troie d’accès à distance (RAT) et de voler des données sensibles sur des hôtes compromis.

Le paquet, nommé « @openclaw-ai/openclawai », a été déposé auprès du registre par l’utilisateur « openclaw-ai » le 3 mars 2026. Il a été téléchargé 178 fois à ce jour. La bibliothèque est toujours disponible au téléchargement.

JFrog, qui a découvert le paquet, a déclaré qu’il est conçu pour voler les identifiants système, les données du navigateur, les portefeuilles de cryptomonnaie, les clés SSH, les bases de données du Trousseau d’accès Apple et l’historique iMessage, ainsi que pour installer un RAT persistant avec des capacités d’accès à distance, un proxy SOCKS5 et le clonage de sessions de navigateur en direct.

« Cette attaque se distingue par l’ampleur de sa collecte de données, le recours à l’ingénierie sociale pour obtenir le mot de passe du système de la victime, ainsi que la sophistication de sa persistance et de son infrastructure de commande et de contrôle », a déclaré Meitar Palas, chercheur en sécurité . « En interne, le logiciel malveillant s’identifie comme GhostLoader. »