Un paquete malicioso publicado en el registro de npm se hace pasar por un instalador legítimo llamado OpenClaw y ha sido utilizado para desplegar un troyano de acceso remoto (RAT) que roba datos sensibles y mantiene presencia persistente en macOS. La firma de seguridad JFrog fue la que señaló la pieza en cuestión, disponible bajo el identificador @openclaw-ai/openclawai, subido por el usuario "openclaw-ai" el 3 de marzo de 2026 y con descargas registradas por cientos de usuarios.
El engaño comienza en el propio flujo de instalación de npm: el paquete abusa de los ganchos de postinstalación para volver a instalarse de forma global, convirtiéndose en un comando accesible desde la terminal gracias a la configuración del campo "bin" en su package.json, que es precisamente lo que permite que un ejecutable se añada al PATH del sistema. Para quien quiera revisar cómo funciona esa configuración de npm, la documentación oficial lo explica con detalle: package.json — bin, y los scripts de npm están documentados aquí: npm scripts.
En su primera fase el malware muestra una interfaz de línea de comandos falsa, con barras de progreso y mensajes que simulan una instalación legítima. Tras esa representación visual, aparece un cuadro que solicita la contraseña del sistema bajo la excusa de autorizar el acceso al llavero de iCloud. Esa es una maniobra de ingeniería social pensada para que el usuario entregue credenciales que el malware necesita para descifrar y acceder a datos que macOS protege por defecto.
Simultáneamente a ese ritual de "instalación", el instalador malicioso descarga desde un servidor de mando y control un segundo payload cifrado, lo descodifica y lo ejecuta como un proceso independiente que queda funcionando en segundo plano; el archivo temporal que lo contiene se borra poco después para intentar borrar huellas. JFrog documenta que, si no tiene acceso a ciertos directorios del navegador (por ejemplo, si no se ha concedido Acceso a Disco Completo), el instalador muestra un diálogo de AppleScript que guía al usuario paso a paso para habilitar permisos en Preferencias del Sistema, facilitando de ese modo la recolección posterior de datos protegidos por esas barreras: cómo gestionar permisos en macOS.
El segundo estadio es, según el análisis de JFrog, un enorme script JavaScript de miles de líneas que actúa como un framework de robo de información y RAT. Entre sus capacidades se incluyen persistencia como demonio, extracción de contraseñas y cookies de navegadores Chromium, descifrado del llavero de macOS (incluyendo bases de iCloud Keychain), acceso a carteras de criptomonedas y extensiones, captura de claves SSH, recolección de credenciales en nubes públicas y servicios de desarrollo, y lectura en tiempo real de mensajes de iMessage, notas protegidas y correo si consigue los permisos necesarios. Además, vigila el portapapeles cada pocos segundos en busca de patrones que correspondan a claves privadas o tokens —por ejemplo, claves en formato WIF o semillas de criptomonedas—, un tipo de dato cuya naturaleza técnica puede consultarse con más detalle aquí: WIF key — learnmeabitcoin.
La ruta final del ataque consiste en empaquetar lo recopilado y filtrarlo hacia fuera por varios canales: subidas directas al servidor de mando y control, uso de la API de bots de Telegram para enviar los ficheros robados y alojamiento temporal en servicios como GoFile.io. El malware también incorpora funcionalidades para habilitar un proxy SOCKS5 que permite al atacante enrutar tráfico a través de la máquina comprometida, y una capacidad especialmente inquietante de "clonado" de navegador: lanza una instancia de Chromium en modo headless con el perfil del usuario, lo que proporciona sesiones autenticadas sin necesidad de robar contraseñas porque las cookies y el estado de sesión ya existen en ese perfil. Para comprender qué supone un proxy SOCKS5, puede consultarse esta explicación general: qué es un proxy SOCKS.
Que un solo paquete reúna técnicas de ingeniería social, descargas cifradas desde un C2, un ladrón de información y un RAT funcional marca la diferencia: no es sólo un script que copia archivos, sino una plataforma completa para espionaje y exfiltración. JFrog ha resumido cómo la combinación de una interfaz pulida y una petición de contraseña del sistema hace que incluso desarrolladores prudentes puedan ser engañados; esa contraseña permite sortear protecciones del sistema y acceder a secretos que de otro modo permanecerían cifrados.
Si crees que puedes estar afectado, las medidas inmediatas pasan por dejar de confiar en paquetes desconocidos instalados globalmente y revisar la lista de paquetes globales de npm en tu sistema. Una acción de desinstalación básica para este caso sería ejecutar la orden de desinstalación global del paquete: "npm uninstall -g @openclaw-ai/openclawai", y comprobar procesos activos, agentes de inicio y ficheros temporales sospechosos. También es prudente revocar tokens, rotar claves SSH y credenciales de nube, cambiar contraseñas y activar autenticación de dos factores en los servicios que lo permitan. Para reducir riesgos futuros, evita ejecutar instalaciones globales desde autores no verificados, inspecciona el contenido del paquete antes de ejecutarlo y limita la práctica de introducir la contraseña del sistema cuando no queda claro por qué es necesaria.
Para quienes gestionan proyectos o infraestructuras, es esencial tratar la cadena de suministro de software como una superficie de ataque crítica: usar verificaciones de integridad, firmar artefactos, aplicar políticas que limiten instalaciones globales y auditar dependencias ayuda a minimizar la probabilidad de que un paquete malicioso alcance entornos de desarrollo o producción. Recursos como la investigación de JFrog ofrecen indicadores, muestras y detalles técnicos que permiten a administradores y equipos de seguridad identificar y bloquear variantes: GhostClaw — informe de JFrog. También es útil que los desarrolladores revisen regularmente las prácticas recomendadas de npm y las guías de seguridad mantenidas por la comunidad.
El episodio recuerda que la seguridad en el ecosistema de paquetes no es sólo un asunto de repositorios privados o de grandes empresas: cualquier desarrollador que use npm desde la terminal puede ser objetivo si confía en paquetes con apariencia legítima. Mantener la precaución, limitar privilegios y actualizar y rotar credenciales de forma proactiva son hábitos que, en este caso, marcan la diferencia entre una intrusión contenida y una brecha grave.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...