Hackeři zneužívají hype kolem OpenClaw na GitHubu k odcizení kryptoměn

Podvodníci v oblasti kryptoměn zneužívají rostoucí viditelnost OpenClaw k cílení na vývojáře prostřednictvím koordinované phishingové kampaně na GitHubu, podle zprávy OX Security.

Kampaň se zaměřuje na falešná tvrzení o odměnách vázaných na tokeny $CLAW a jejím cílem je oklamat uživatele, aby připojili své kryptopeněženky k škodlivým webům.

Aktivita se objevila v době, kdy OpenClaw nabírá na síle po změnách vedení a přechodu na otevřený projekt spravovaný nadací.

Výzkumníci uvádějí, že útočníci využívají aktivitu vývojářů na GitHubu, aby schéma působilo věrohodně a personalizovaně.

Taktiky cílení na GitHubu

Phishingová operace probíhá prostřednictvím repozitářů na GitHubu ovládaných útočníky.

Škodliví aktéři vytvářejí falešné účty, zakládají issue vlákna a označují velké množství vývojářů, aby maximalizovali viditelnost.

V jednom z příkladů, který výzkumníci uvedli, bylo vývojářům sděleno, že byli vybráni pro alokaci OpenClaw.

Zpráva tvrdila, že příjemci vyhráli tokeny $CLAW v hodnotě $5,000 a směřovala je na web navržený tak, aby věrně napodoboval openclaw.ai.

Předpokládá se, že útočníci identifikují cíle analýzou funkce "star" na GitHubu.

Zaměřením se na uživatele, kteří označili hvězdou repozitáře související s OpenClaw, zprávy působí relevantněji a přesvědčivěji.

Mechanismus vyprázdnění peněženek

Jakmile uživatelé dorazí na falešný web, jsou vyzváni k připojení svých kryptopeněženek prostřednictvím funkce „Připojit peněženku“.

Tento krok aktivuje škodlivé skripty, které útočníkům umožňují odčerpat prostředky.

OX Security uvedla, že phishingové stránky obsahují obfuskovaný JavaScript navržený tak, aby skrýval funkce pro krádež peněženek.

Soubor s názvem eleven.js byl identifikován jako klíčová součást útoku.

Malware obsahuje vestavěnou funkci „nuke“, která po provedení maže stopy z lokálního úložiště prohlížeče.

To útočníkům pomáhá vyhnout se detekci a zároveň nadále sledovat aktivitu uživatelů.

Sledování dat a exfiltrace

Škodlivý kód sleduje chování uživatelů prostřednictvím řady příkazů, jako jsou PromptTx, Approved a Declined.

Tyto příkazy umožňují útočníkům monitorovat interakce v reálném čase.

Zakódovaná data, včetně adres peněženek a hodnot transakcí, jsou odesílána na řídicí server typu command-and-control.

Výzkumníci uvedli, že alespoň jedna adresa peněženky propojená s kampaní byla již identifikována jako cílové místo pro odcizené prostředky.

Počet obětí zatím nebyl potvrzen. Nicméně infrastruktura a metody cílení naznačují, že kampaň aktivně vyhledává nové uživatele.

OpenClaw se distancuje od kryptoměn

Phishingová kampaň se objevila souběžně se vzrůstajícím zájmem o OpenClaw.

Projekt získal na viditelnosti poté, co generální ředitel OpenAI Sam Altman oznámil, že tvůrce Peter Steinberger povede jeho expanzi do oblasti osobních AI agentů.

Navzdory podvodu s tématem krypto zaujal Steinberger v rámci ekosystému OpenClaw přísný postoj vůči kryptoměnám.

Jakékoliv zmínky o krypto aktivech na Discord serveru projektu mohou vést k vyloučení.

Toto pravidlo navazuje na předchozí incident během rebrandu OpenClaw.

Tehdy podvodníci propagovali token na blockchainu Solana s názvem $CLAWD, který dosáhl tržní kapitalizace přibližně $16 million, než klesl o více než 90 % poté, co Steinberger popřel jakékoli spojení.

OX Security doporučila uživatelům blokovat domény jako token-claw[.]xyz a watery-compost[.]today a vyvarovat se připojování peněženek k nově objeveným nebo neověřeným platformám.