Penggodam manfaatkan keterlihatan OpenClaw di GitHub untuk mencuri dana kripto

Penipu kripto mengeksploitasi peningkatan keterlihatan OpenClaw untuk menyasarkan pembangun melalui kempen phishing berkoordinasi di GitHub, menurut satu laporan oleh OX Security.

Kempen itu bertumpu pada tuntutan ganjaran palsu yang berkaitan dengan token $CLAW dan bertujuan memperdaya pengguna supaya menyambungkan dompet kripto mereka ke laman web berniat jahat.

Aktiviti itu timbul seiring OpenClaw mendapat perhatian selepas perubahan kepimpinan dan peralihannya menjadi projek sumber terbuka yang dikendalikan oleh sebuah yayasan.

Penyelidik berkata penyerang memanfaatkan aktiviti pembangun di GitHub untuk menjadikan skim itu kelihatan dipercayai dan diperibadikan.

Taktik mensasarkan di GitHub

Operasi phishing dijalankan melalui repositori GitHub yang dikawal oleh penyerang.

Pelaku berniat jahat mencipta akaun palsu, membuka thread isu, dan menandai sejumlah besar pembangun untuk memaksimumkan keterlihatan.

Dalam satu contoh yang diserlahkan oleh penyelidik, pembangun diberitahu mereka telah dipilih untuk peruntukan OpenClaw.

Mesej itu mendakwa penerima telah memenangi $5,000 bernilai token $CLAW dan mengarahkan mereka ke satu laman web yang direka untuk meniru openclaw.ai dengan rapat.

Penyerang dipercayai mengenal pasti sasaran dengan menganalisis ciri "star" GitHub.

Dengan memfokuskan pada pengguna yang telah memberi star kepada repositori yang berkaitan dengan OpenClaw, mesej menjadi lebih relevan dan meyakinkan.

Mekanisme pengurasan dompet

Sebaik pengguna mendarat di laman palsu, mereka digesa untuk menyambungkan dompet kripto mereka melalui fungsi "Sambungkan dompet anda".

Langkah ini mengaktifkan skrip berniat jahat yang membolehkan penyerang menguras dana.

OX Security melaporkan bahawa halaman phishing tersebut memasukkan JavaScript yang disamarkan untuk menyembunyikan fungsi pencurian dompet.

Satu fail bernama eleven.js telah dikenalpasti sebagai komponen utama serangan.

Perisian hasad itu merangkumi fungsi berteraskan "nuke", yang membersihkan jejak dari storan tempatan pelayar selepas dilaksanakan.

Ini membantu penyerang mengelak pengesanan sambil terus memantau aktiviti pengguna.

Penjejakan dan eksfiltrasi data

Kod berniat jahat menjejaki tingkah laku pengguna melalui beberapa arahan seperti PromptTx, Approved, dan Declined.

Arahan ini membolehkan penyerang memantau interaksi secara masa nyata.

Data terkod, termasuk alamat dompet dan nilai transaksi, dihantar ke pelayan command-and-control.

Penyelidik berkata sekurang-kurangnya satu alamat dompet yang berkaitan dengan kempen itu telah dikenal pasti sebagai destinasi untuk dana yang dicuri.

Setakat ini tiada bilangan mangsa yang disahkan. Walau bagaimanapun, infrastruktur dan kaedah penyasaran mencadangkan kempen ini secara aktif mencari pengguna baru.

OpenClaw menjauhkan diri daripada kripto

Kempen phishing ini bertepatan dengan perhatian yang semakin meningkat sekitar OpenClaw.

Projek itu mendapat keterlihatan selepas CEO OpenAI Sam Altman mengumumkan bahawa pencipta Peter Steinberger akan mengetuai usaha mereka ke arah ejen AI peribadi.

Walaupun wujud penipuan bertema kripto, Steinberger telah mengambil sikap tegas terhadap mata wang kripto dalam ekosistem OpenClaw.

Sebarang sebutan aset kripto di pelayan Discord projek boleh mengakibatkan penghapusan.

Dasar ini mengikuti insiden terdahulu semasa penjenamaan semula OpenClaw.

Pada masa itu, penipu mempromosikan token berasaskan Solana yang dipanggil $CLAWD, yang mencapai permodalan pasaran sekitar $16 million sebelum jatuh lebih daripada 90% selepas Steinberger menafikan sebarang hubungan.

OX Security menasihatkan pengguna untuk menyekat domain seperti token-claw[.]xyz dan watery-compost[.]today serta mengelakkan menyambungkan dompet kepada platform yang baru ditemui atau tidak disahkan.