Hackere udnytter OpenClaw-hype på GitHub til at stjæle kryptomidler

Kryptosvindlere udnytter den stigende synlighed omkring OpenClaw til at målrette udviklere gennem en koordineret phishingkampagne på GitHub, ifølge en rapport fra OX Security.

Kampagnen centrerer sig om falske belønningspåstande knyttet til $CLAW-tokens og har til formål at narre brugere til at forbinde deres kryptotegnebøger til ondsindede websteder.

Aktiviteten er opstået i kølvandet på, at OpenClaw har fået øget opmærksomhed efter lederskift og overgangen til et stiftelsesdrevet open source-projekt.

Forskere siger, at angriberne udnytter udvikleraktivitet på GitHub for at få ordningen til at fremstå troværdig og personlig.

GitHub-målretningstaktik

Phishingoperationen udføres via GitHub-repositorier kontrolleret af angriberne.

Ondsindede aktører opretter falske konti, åbner issue-tråde og tagger et stort antal udviklere for at maksimere synligheden.

I ét eksempel fremhævet af forskerne fik udviklere besked om, at de var blevet udvalgt til en OpenClaw-tildeling.

Beskeden påstod, at modtagerne havde vundet $5,000 i $CLAW-tokens og dirigerede dem til et websted designet til nøje at efterligne openclaw.ai.

Angriberne menes at identificere mål ved at analysere stjernefunktionen på GitHub.

Ved at fokusere på brugere, der har givet stjerner til repositories knyttet til OpenClaw, fremstår beskederne mere relevante og overbevisende.

Mekanisme til tømning af tegnebog

Når brugere lander på det falske site, bliver de bedt om at forbinde deres kryptotegnebog via en “Forbind din kryptotegnebog”-funktion.

Dette trin aktiverer ondsindede scripts, der gør det muligt for angriberne at tømme midler.

OX Security rapporterede, at phishing-siderne indeholder obfuskert JavaScript designet til at skjule funktioner, der tømmer tegnebøger.

En fil ved navn eleven.js er blevet identificeret som en nøglekomponent i angrebet.

Malwaren indeholder en indbygget “nuke”-funktion, som sletter spor fra browserens lokale lagring efter udførelse.

Det hjælper angriberne med at undgå opdagelse, mens de fortsætter med at overvåge brugeraktivitet.

Sporing og eksfiltrering af data

Den ondsindede kode sporer brugeradfærd gennem en række kommandoer såsom PromptTx, Approved og Declined.

Disse kommandoer gør det muligt for angriberne at overvåge interaktioner i realtid.

Krypterede data, herunder tegnebogsadresser og transaktionsværdier, sendes til en command-and-control-server.

Forskere oplyste, at mindst én tegnebogsadresse forbundet med kampagnen allerede er blevet identificeret som et modtagersted for stjålne midler.

Der er endnu ikke bekræftet noget antal ofre. Infrastrukturen og målretningsmetoderne tyder dog på, at kampagnen aktivt søger nye brugere.

OpenClaw: afstandtagen fra krypto

Phishingkampagnen falder sammen med stigende opmærksomhed omkring OpenClaw.

Projektet opnåede større synlighed, efter at OpenAI CEO Sam Altman annoncerede, at skaberen Peter Steinberger ville lede dets satsning på personlige AI-agenter.

På trods af det kryptotemaet bedrageri har Steinberger indtaget en streng holdning imod kryptovalutaer inden for OpenClaw-økosystemet.

Enhver omtale af kryptoaktiver på projektets Discord-server kan medføre fjernelse.

Denne politik følger en tidligere hændelse under OpenClaws omprofilering.

På det tidspunkt promoverede svindlere et Solana-baseret token kaldet $CLAWD, som nåede en markedsværdi på omkring $16 million, før det faldt med mere end 90% efter at Steinberger afviste enhver forbindelse.

OX Security har rådet brugere til at blokere domæner såsom token-claw[.]xyz og watery-compost[.]today samt undgå at forbinde tegnebøger til nyligt opdagede eller uverificerede platforme.