Hackers misbruiken OpenClaw-hype op GitHub om crypto te stelen

Crypto-oplichters maken misbruik van de toenemende zichtbaarheid van OpenClaw om ontwikkelaars te targeten via een gecoördineerde phishingcampagne op GitHub, volgens een rapport van OX Security.

De campagne draait om valse beloftes van beloningen gekoppeld aan $CLAW-tokens en heeft als doel gebruikers te misleiden hun crypto-wallets met kwaadaardige websites te verbinden.

De activiteit is naar voren gekomen nu OpenClaw aan tractie wint na leiderschapswisselingen en de transitie naar een door een stichting gerund open-sourceproject.

Onderzoekers zeggen dat aanvallers de activiteiten van ontwikkelaars op GitHub benutten om de truc geloofwaardig en gepersonaliseerd te laten lijken.

Aanvaltactieken op GitHub

De phishingoperatie wordt uitgevoerd via door aanvallers gecontroleerde GitHub-repositories.

Kwaadaardige actoren maken nep-accounts aan, openen issue-threads en taggen grote aantallen ontwikkelaars om de zichtbaarheid te maximaliseren.

In een voorbeeld dat onderzoekers aanhaalden, kregen ontwikkelaars te horen dat ze geselecteerd waren voor een OpenClaw-toewijzing.

Het bericht stelde dat ontvangers $5,000 aan $CLAW-tokens hadden gewonnen en verwees naar een website die openclaw.ai nauwkeurig nabootst.

Men denkt dat de aanvallers doelwitten identificeren door de star-functie van GitHub te analyseren.

Door zich te richten op gebruikers die repositories gerelateerd aan OpenClaw een ster hebben gegeven, lijken de berichten relevanter en overtuigender.

Mechanisme voor het leegtrekken van wallets

Wanneer gebruikers op de nep-site terechtkomen, wordt hen gevraagd hun crypto-wallets te verbinden via een “Verbind je wallet”-functie.

Deze stap activeert kwaadaardige scripts die aanvallers in staat stellen fondsen leeg te trekken.

OX Security meldde dat de phishingpagina's obscure JavaScript bevatten die is ontworpen om functies voor het leegtrekken van wallets te verbergen.

Een bestand met de naam eleven.js is geïdentificeerd als een sleutelcomponent van de aanval.

De malware bevat een ingebouwde “nuke”-functie, die na uitvoering sporen uit de lokale opslag van de browser wist.

Dit helpt aanvallers detectie te vermijden terwijl ze de gebruikersactiviteit blijven monitoren.

Gegevenstracking en exfiltratie

De kwaadaardige code volgt gebruikersgedrag via een reeks commando's zoals PromptTx, Approved en Declined.

Deze commando's stellen aanvallers in staat interacties in realtime te monitoren.

Gecodeerde gegevens, waaronder walletadressen en transactiebedragen, worden naar een command-and-control-server gestuurd.

Onderzoekers zeiden dat ten minste één walletadres dat aan de campagne gekoppeld is al is geïdentificeerd als bestemmingsadres voor gestolen gelden.

Er is nog geen bevestigd aantal slachtoffers. De infrastructuur en de targetingmethoden suggereren echter dat de campagne actief op zoek is naar nieuwe gebruikers.

OpenClaw distantieert zich van crypto

De phishingcampagne valt samen met toenemende aandacht voor OpenClaw.

Het project kreeg zichtbaarheid nadat OpenAI-CEO Sam Altman aankondigde dat maker Peter Steinberger leiding zou geven aan de uitbreiding naar persoonlijke AI-agenten.

Ondanks de crypto-gerichte zwendel heeft Steinberger een strikt standpunt ingenomen tegen cryptovaluta binnen het OpenClaw-ecosysteem.

Elke melding van crypto-activa op de Discord-server van het project kan leiden tot verwijdering.

Dit beleid volgt op een eerder incident tijdens de rebranding van OpenClaw.

Destijds promootten oplichters een op Solana gebaseerde token genaamd $CLAWD, die een marktkapitalisatie van ongeveer $16 million bereikte voordat hij met meer dan 90% daalde nadat Steinberger ontkende enige verbinding.

OX Security heeft gebruikers geadviseerd domeinen zoals token-claw[.]xyz en watery-compost[.]today te blokkeren en het verbinden van wallets met nieuw ontdekte of niet-geverifieerde platforms te vermijden.