Χάκερ εκμεταλλεύονται το ντόρο του OpenClaw στο GitHub για κλοπή κρυπτοκεφαλαίων

Απατεώνες του κρυπτοχώρου εκμεταλλεύονται την αυξανόμενη προβολή του OpenClaw για να στοχεύσουν προγραμματιστές μέσω μιας συντονισμένης εκστρατείας phishing στο GitHub, σύμφωνα με ένα ρεπορτάζ της OX Security.

Η εκστρατεία επικεντρώνεται σε ψεύτικες διεκδικήσεις ανταμοιβών συνδεδεμένες με διακριτικά $CLAW και στοχεύει στο να ξεγελάσει χρήστες ώστε να συνδέσουν τα πορτοφόλια κρυπτονομισμάτων τους σε κακόβουλους ιστότοπους.

Η δραστηριότητα εμφανίζεται καθώς το OpenClaw αποκτά δυναμική μετά τις αλλαγές στη διοίκηση και τη μετατροπή του σε έργο ανοιχτού κώδικα υπό τη διαχείριση ιδρύματος.

Οι ερευνητές αναφέρουν ότι οι δράστες αξιοποιούν τη δραστηριότητα των προγραμματιστών στο GitHub ώστε το σχέδιο να φαίνεται αξιόπιστο και προσωποποιημένο.

Τακτικές στόχευσης στο GitHub

Η εκστρατεία phishing διενεργείται μέσω αποθετηρίων GitHub που ελέγχονται από τους δράστες.

Κακόβουλοι χρήστες δημιουργούν ψεύτικους λογαριασμούς, ανοίγουν θέματα (issues) και επισημαίνουν μεγάλους αριθμούς προγραμματιστών για μέγιστη προβολή.

Σε ένα παράδειγμα που επισημαίνουν οι ερευνητές, οι προγραμματιστές ενημερώθηκαν ότι είχαν επιλεγεί για κατανομή OpenClaw.

Το μήνυμα ισχυριζόταν ότι οι παραλήπτες κέρδισαν διακριτικά $CLAW αξίας $5,000 και τους παρέπεμπε σε έναν ιστότοπο σχεδιασμένο να μιμείται στενά το openclaw.ai.

Πιστεύεται ότι οι δράστες εντοπίζουν στόχους αναλύοντας τη λειτουργία 'star' του GitHub.

Εστιάζοντας σε χρήστες που έχουν επισημάνει με star αποθετήρια συνδεδεμένα με το OpenClaw, τα μηνύματα φαίνονται πιο σχετικά και πειστικά.

Μηχανισμός εκκένωσης πορτοφολιού

Μόλις οι χρήστες προσγειωθούν στον ψεύτικο ιστότοπο, τους ζητείται να συνδέσουν τα πορτοφόλια κρυπτονομισμάτων τους μέσω της λειτουργίας «Συνδέστε το πορτοφόλι σας».

Αυτό το βήμα ενεργοποιεί κακόβουλα scripts που επιτρέπουν στους δράστες να εκκενώσουν κεφάλαια.

Η OX Security ανέφερε ότι οι σελίδες phishing περιλαμβάνουν παραμορφωμένο JavaScript σχεδιασμένο να κρύβει λειτουργίες κλοπής πορτοφολιών.

Έχει ταυτοποιηθεί ένα αρχείο με όνομα eleven.js ως βασικό στοιχείο της επίθεσης.

Το κακόβουλο λογισμικό περιλαμβάνει ενσωματωμένη λειτουργία «nuke», που διαγράφει ίχνη από την τοπική αποθήκευση του προγράμματος περιήγησης μετά την εκτέλεση.

Αυτό βοηθά τους δράστες να αποφεύγουν την ανίχνευση ενώ συνεχίζουν να παρακολουθούν τη δραστηριότητα των χρηστών.

Παρακολούθηση δεδομένων και εξαγωγή

Ο κακόβουλος κώδικας παρακολουθεί τη συμπεριφορά των χρηστών μέσω σειράς εντολών όπως PromptTx, Approved και Declined.

Οι εντολές αυτές επιτρέπουν στους δράστες να παρακολουθούν τις αλληλεπιδράσεις σε πραγματικό χρόνο.

Κωδικοποιημένα δεδομένα, συμπεριλαμβανομένων διευθύνσεων πορτοφολιών και τιμών συναλλαγών, αποστέλλονται σε διακομιστή command-and-control.

Οι ερευνητές δήλωσαν ότι τουλάχιστον μία διεύθυνση πορτοφολιού συνδεδεμένη με την εκστρατεία έχει ήδη ταυτοποιηθεί ως προορισμός για κλαπέντα κεφάλαια.

Δεν υπάρχει έως τώρα επιβεβαιωμένος αριθμός θυμάτων. Ωστόσο, η υποδομή και οι μέθοδοι στόχευσης υποδηλώνουν ότι η εκστρατεία αναζητά ενεργά νέους χρήστες.

Το OpenClaw απομακρύνεται από τα κρυπτονομίσματα

Η εκστρατεία phishing συμπίπτει με την αυξανόμενη προσοχή γύρω από το OpenClaw.

Το έργο κέρδισε ορατότητα μετά την ανακοίνωση του CEO της OpenAI, Sam Altman, ότι ο δημιουργός Peter Steinberger θα ηγηθεί της προσπάθειάς του για προσωπικούς πράκτορες τεχνητής νοημοσύνης.

Παρά την απάτη με θέμα τα κρυπτονομίσματα, ο Steinberger έχει υιοθετήσει αυστηρή στάση κατά των κρυπτονομισμάτων εντός του οικοσυστήματος OpenClaw.

Οποιαδήποτε αναφορά σε κρυπτο-περιουσιακά στοιχεία στο Discord του έργου μπορεί να οδηγήσει σε απομάκρυνση.

Αυτή η πολιτική ακολουθεί ένα προηγούμενο περιστατικό κατά την επανεπωνυμία του OpenClaw.

Εκείνη την περίοδο, απατεώνες προώθησαν ένα διακριτικό βασισμένο στο Solana με όνομα $CLAWD, το οποίο έφτασε σε κεφαλαιοποίηση αγοράς περίπου $16 million πριν υποχωρήσει πάνω από 90% αφού ο Steinberger αρνήθηκε οποιαδήποτε σύνδεση.

Η OX Security έχει συμβουλεύσει τους χρήστες να μπλοκάρουν domains όπως token-claw[.]xyz και watery-compost[.]today και να αποφεύγουν τη σύνδεση πορτοφολιών με νεοανακαλυφθείσες ή μη επαληθευμένες πλατφόρμες.