قراصنة يستغلون الضجة حول OpenClaw على GitHub لسرقة أموال مشفرة

يستغل محتالو التشفير تزايد ظهور OpenClaw لاستهداف المطوّرين عبر حملة تصيّد منسقة على GitHub، وفقًا لتقرير صادر عن OX Security.

تركّز الحملة على ادعاءات مكافآت مزيفة مرتبطة برموز $CLAW وتهدف إلى خداع المستخدمين لربط محافظهم المشفّرة بمواقع خبيثة.

برزت هذه النشاطات مع اكتساب OpenClaw زخماً بعد تغيّرات قيادية وتحويله إلى مشروع مفتوح المصدر تُديره مؤسسة.

يقول الباحثون إن المهاجمين يستغلون نشاط المطوّرين على GitHub لجعل الخدعة تبدو موثوقة ومخصصة.

تكتيكات الاستهداف على GitHub

تُنفَّذ عملية التصيّد عبر مستودعات GitHub تسيطر عليها الجهات المهاجمة.

ينشئ الفاعلون الخبيثون حسابات مزيفة، ويفتحون سلاسل قضايا (issues)، ويعلّمون أعدادًا كبيرة من المطوّرين لزيادة مستوى الظهور.

في مثال واحد أبرزه الباحثون، تم إبلاغ المطوّرين أنهم تم اختيارهم لتخصيص من OpenClaw.

ادعى الرسالة أن المستلمّين ربحوا $5,000 من رموز $CLAW ووجّهتهم إلى موقع مصمّم ليحاكي عن كثب openclaw.ai.

يُعتقد أن المهاجمين يحدّدون الأهداف عن طريق تحليل ميزة النجمة في GitHub.

من خلال التركيز على المستخدمين الذين وضعوا نجمة على مستودعات مرتبطة بـOpenClaw، تبدو الرسائل أكثر صلة وإقناعًا.

آلية تفريغ المحافظ

بمجرد وصول المستخدمين إلى الموقع المزيف، يُطالَبون بربط محافظهم المشفّرة عبر ميزة “ربط محفظتك”.

يفعّل هذا الإجراء سكربتات خبيثة تمكّن المهاجمين من سحب الأموال.

أفادت OX Security أن صفحات التصيّد تتضمن JavaScript مُبهمًا مصمّمًا لإخفاء وظائف سرقة المحافظ.

تم تحديد ملف باسم eleven.js باعتباره مكوّنًا رئيسيًا في الهجوم.

تتضمّن البرمجية الخبيثة دالة مدمجة باسم “nuke”، تزيل الآثار من التخزين المحلي في المتصفح بعد التنفيذ.

يساعد ذلك المهاجمين على تجنّب الاكتشاف مع استمرار مراقبة نشاط المستخدمين.

تعقب البيانات وتسريبها

يتعقّب الكود الخبيث سلوك المستخدم عبر سلسلة من الأوامر مثل PromptTx وApproved وDeclined.

تسمح هذه الأوامر للمهاجمين بمراقبة التفاعلات في الوقت الحقيقي.

يُرسَل بيانات مُشفّرة، بما في ذلك عناوين المحافظ وقيم المعاملات، إلى خادم قيادة وسيطرة (command and control).

قال الباحثون إن عنوان محفظة واحدًا على الأقل المرتبط بالحملة تم تحديده بالفعل كوجهة للأموال المسروقة.

لم يتم تأكيد عدد الضحايا حتى الآن. ومع ذلك، تشير البنية التحتية وطرق الاستهداف إلى أن الحملة تسعى بنشاط لجذب مستخدمين جدد.

ابتعاد OpenClaw عن العملات المشفرة

تتزامن حملة التصيّد مع تزايد الاهتمام بـOpenClaw.

اكتسب المشروع وضوحًا بعد أن أعلن الرئيس التنفيذي لـOpenAI، Sam Altman، أن المُنشئ Peter Steinberger سيقود جهوده للتوجه نحو وكلاء الذكاء الاصطناعي الشخصية.

رغم الاحتيال المرتبط بموضوع العملات المشفرة، اتخذ Steinberger موقفًا صارمًا ضد العملات المشفرة ضمن منظومة OpenClaw.

أي ذكر للأصول المشفرة على خادم Discord الخاص بالمشروع قد يؤدي إلى الإزالة.

تأتي هذه السياسة بعد حادثة سابقة خلال إعادة تسمية OpenClaw.

في ذلك الوقت، روج المحتالون لرمز قائم على سولانا يُدعى $CLAWD، الذي وصل إلى رسملة سوقية تقارب $16 million قبل أن يتراجع بأكثر من 90% بعد أن نفى Steinberger أي صلة.

نصحت OX Security المستخدمين بحظر نطاقات مثل token-claw[.]xyz وwatery-compost[.]today وتجنّب ربط المحافظ بمنصات تم اكتشافها حديثًا أو غير موثوقة.