Hakkerit hyödyntävät OpenClaw-hypeä GitHubissa varastaakseen kryptovaroja

Kryptohuijarit hyödyntävät OpenClawin kasvavaa näkyvyyttä kohdatakseen kehittäjiä koordinoidun GitHubin phishing-kampanjan kautta, OX Securityn raportin mukaan.

Kampanja keskittyy väärennettyihin palkintoväitteisiin, jotka liittyvät $CLAW-tokeneihin, ja pyrkii huijaamaan käyttäjiä yhdistämään kryptolompakkonsa haitallisille verkkosivuille.

Toiminta on noussut esiin OpenClawin saadessa jalansijaa johtajuusmuutosten ja siirtymisen jälkeen säätiöpohjaiseksi avoimen lähdekoodin projektiksi.

Tutkijat kertovat, että hyökkääjät käyttävät hyväkseen kehittäjäaktiivisuutta GitHubissa saadakseen huijauksen vaikuttamaan uskottavalta ja henkilökohtaiselta.

GitHubin kohdentamiskeinot

Phishing-toiminta toteutetaan hyökkääjien hallinnoimien GitHub-repositorioden kautta.

Pahantahtoiset toimijat luovat vääriä tilejä, avaavat issue-ketjuja ja merkitsevät suuren joukon kehittäjiä näkyvyyden maksimoimiseksi.

Yhdessä tutkijoiden esimerkissä kehittäjille kerrottiin, että heidät oli valittu OpenClaw-jakoon.

Viestissä väitettiin, että vastaanottajat olivat voittaneet $5,000 arvosta $CLAW-tokeneja, ja heitä ohjattiin sivustolle, joka on suunniteltu jäljittelemään tarkasti openclaw.ai:ta.

Hyökkääjien uskotaan tunnistavan kohteita analysoimalla GitHubin star-ominaisuutta.

Keskittymällä käyttäjiin, jotka ovat tähdänneet OpenClawiin linkittyviä repositorioita, viestit vaikuttavat relevantimmilta ja uskottavammilta.

Lompakon tyhjennysmekanismi

Kun käyttäjät saapuvat väärennetylle sivulle, heitä kehotetaan yhdistämään kryptolompakkonsa “Connect your wallet” -toiminnon kautta.

Tämä vaihe aktivoi haitalliset skriptit, jotka mahdollistavat hyökkääjien varojen tyhjentämisen.

OX Security raportoi, että phishing-sivut sisältävät obfuskoitua JavaScriptiä, joka on suunniteltu piilottamaan lompakkoja varastavat toiminnot.

Tiedosto nimeltä eleven.js on tunnistettu hyökkäyksen keskeiseksi osaksi.

Haittaohjelmaan kuuluu sisäänrakennettu “nuke”-funktio, joka suorittamisen jälkeen tyhjentää jäljet selaimen paikallisesta tallennustilasta.

Tämä auttaa hyökkääjiä välttämään havaitsemista samalla kun he jatkavat käyttäjätoiminnan seuraamista.

Tietojen seuranta ja poisvienti

Pahantahtoinen koodi seuraa käyttäjäkäyttäytymistä sarjan komentojen, kuten PromptTx, Approved ja Declined, kautta.

Nämä komennot antavat hyökkääjille mahdollisuuden seurata vuorovaikutuksia reaaliajassa.

Koodattuja tietoja, mukaan lukien lompakon osoitteet ja tapahtuma-arvot, lähetetään komento- ja ohjauspalvelimelle.

Tutkijat sanoivat, että ainakin yksi kampanjaan liitetty lompakon osoite on jo tunnistettu varastettujen varojen vastaanottajaksi.

Vahvistettua uhrien määrää ei vielä ole. Infrastruktuuri ja kohdentamismetodit kuitenkin viittaavat siihen, että kampanja etsii aktiivisesti uusia käyttäjiä.

OpenClaw etääntyy kryptovaroista

Phishing-kampanja ajoittuu samaan aikaan OpenClawin kasvavan huomion kanssa.

Projekti sai näkyvyyttä sen jälkeen, kun OpenAI:n toimitusjohtaja Sam Altman ilmoitti, että luoja Peter Steinberger johtaisi sen siirtymistä henkilökohtaisten tekoälyagenttien suuntaan.

Kryptoaiheisesta huijauksesta huolimatta Steinberger on ottanut tiukan kannan kryptovaroihin OpenClaw-ekosysteemissä.

Kaikki viittaukset kryptovarallisuuteen projektin Discord-palvelimella voivat johtaa poistoon.

Tämä linjaus seuraa aiempaa tapausta OpenClawin brändinmuutoksen yhteydessä.

Silloin huijarit promotoivat Solana-pohjaista tokenia nimeltä $CLAWD, joka nousi noin 16 miljoonan dollarin markkina-arvoon ennen kuin se putosi yli 90 prosenttia sen jälkeen, kun Steinberger kiisti yhteyden.

OX Security on kehottanut käyttäjiä estämään domainit kuten token-claw[.]xyz ja watery-compost[.]today sekä välttämään lompakoiden yhdistämistä uusia tai varmentamattomia alustoja kohtaan.