Hackere utnytter OpenClaw-hype på GitHub for å stjele kryptomidler

Kryptosvindlere utnytter den økte synligheten til OpenClaw for å rette seg mot utviklere gjennom en koordinert phishing-kampanje på GitHub, ifølge en rapport fra OX Security.

Kampanjen dreier seg om falske belønningspåstander knyttet til $CLAW-tokens og har som mål å lure brukere til å koble kryptolommebøkene sine til ondsinnede nettsteder.

Aktiviteten har dukket opp samtidig som OpenClaw får fotfeste etter ledelsesendringer og overgangen til et stiftelsesdrevet open source-prosjekt.

Forskere sier at angriperne utnytter utvikleraktivitet på GitHub for å få svindelen til å virke troverdig og personlig.

Målrettingstaktikk på GitHub

Phishing-operasjonen utføres gjennom GitHub-repositorier kontrollert av angripere.

Skadelige aktører oppretter falske kontoer, åpner issues og tagger et stort antall utviklere for å maksimere synligheten.

I ett eksempel som forskere fremhever, ble utviklere fortalt at de var valgt ut for en OpenClaw-allokering.

Meldingen hevdet at mottakerne hadde vunnet $5,000 i $CLAW-tokens og henviste dem til et nettsted designet for å likne openclaw.ai.

Angriperne antas å identifisere mål ved å analysere GitHubs "star"-funksjon.

Ved å rette seg mot brukere som har markert repositorier knyttet til OpenClaw med stjerne, fremstår meldingene som mer relevante og overbevisende.

Mekanisme for å tømme lommebøker

Når brukere lander på det falske nettstedet, blir de bedt om å koble kryptolommebøkene sine via en «Connect your wallet»-funksjon.

Dette trinnet aktiverer skadelige skript som gjør det mulig for angriperne å tømme midler.

OX Security rapporterte at phishing-sidene inneholder obfuskert JavaScript som er designet for å skjule funksjoner som stjeler midler fra lommebøker.

En fil ved navn eleven.js er blitt identifisert som en sentral komponent i angrepet.

Skadelig programvare inkluderer en innebygd «nuke»-funksjon, som fjerner spor fra nettleserens lokale lagring etter utførelse.

Dette hjelper angriperne å unngå oppdagelse samtidig som de fortsetter å overvåke brukeraktivitet.

Datasporing og eksfiltrering

Den skadelige koden sporer brukeradferd gjennom en serie kommandoer som PromptTx, Approved og Declined.

Disse kommandoene lar angriperne overvåke interaksjoner i sanntid.

Kodede data, inkludert lommebokadresser og transaksjonsverdier, sendes til en kommando- og kontrollserver.

Forskere sa at minst én lommebokadresse knyttet til kampanjen allerede er identifisert som en destinasjon for stjålne midler.

Det finnes foreløpig ingen bekreftet antall ofre. Imidlertid tyder infrastrukturen og målretningsmetodene på at kampanjen aktivt søker nye brukere.

OpenClaw tar avstand fra krypto

Phishing-kampanjen sammenfaller med økende oppmerksomhet rundt OpenClaw.

Prosjektet fikk oppmerksomhet etter at OpenAI-sjef Sam Altman kunngjorde at skaperen Peter Steinberger skulle lede satsingen på personlige AI-agenter.

Til tross for den krypto-tematiserte svindelen har Steinberger inntatt en streng holdning mot kryptovalutaer i OpenClaw-økosystemet.

Enhver omtale av kryptoaktiva på prosjektets Discord-server kan føre til fjerning.

Denne policyen følger en tidligere hendelse under OpenClaws rebranding.

På det tidspunktet promotet svindlere en Solana-basert token kalt $CLAWD, som nådde en markedsverdi på omtrent $16 million før den falt mer enn 90 % etter at Steinberger avviste enhver tilknytning.

OX Security har rådet brukere til å blokkere domener som token-claw[.]xyz og watery-compost[.]today og å unngå å koble lommebøker til nylig oppdagede eller uverifiserte plattformer.