Hakerzy wykorzystują hype wokół OpenClaw na GitHubie, by kraść kryptowaluty

Oszuści związani z kryptowalutami wykorzystują rosnącą widoczność OpenClaw, by poprzez skoordynowaną kampanię phishingową na GitHubie atakować deweloperów, wynika z raportu OX Security.

Kampania koncentruje się na fałszywych roszczeniach o nagrody związanych z tokenami $CLAW i ma na celu oszukanie użytkowników, by podłączali swoje portfele kryptowalutowe do złośliwych stron.

Aktywność pojawiła się wraz ze wzrostem zainteresowania OpenClaw po zmianach w kierownictwie i przekształceniu projektu w open source zarządzany przez fundację.

Badacze wskazują, że atakujący wykorzystują aktywność deweloperów na GitHubie, by schemat wyglądał wiarygodnie i spersonalizowanie.

Taktyki ataków na GitHubie

Operacja phishingowa jest prowadzona za pośrednictwem repozytoriów kontrolowanych przez atakujących.

Złośliwi aktorzy tworzą fałszywe konta, otwierają wątki issues i oznaczają dużą liczbę deweloperów, aby zwiększyć widoczność.

W jednym z przykładów wskazanych przez badaczy deweloperom przekazano, że zostali wybrani do przydziału OpenClaw.

W wiadomości twierdzono, że odbiorcy wygrali $5,000 w tokenach $CLAW i kierowano ich na stronę zaprojektowaną tak, aby dokładnie naśladować openclaw.ai.

Uważa się, że atakujący identyfikują cele, analizując funkcję oznaczania gwiazdką na GitHubie.

Skupiając się na użytkownikach, którzy oznaczyli gwiazdką repozytoria powiązane z OpenClaw, wiadomości wydają się bardziej trafne i przekonujące.

Mechanizm opróżniania portfela

Gdy użytkownicy trafiają na fałszywą stronę, proszeni są o podłączenie swoich portfeli kryptowalutowych za pomocą funkcji „Połącz swój portfel”.

Ten krok aktywuje złośliwe skrypty, które umożliwiają atakującym odpompowanie środków.

OX Security poinformowało, że strony phishingowe zawierają zafałszowany JavaScript mający ukryć funkcje służące do kradzieży portfeli.

Za kluczowy element ataku uznano plik o nazwie eleven.js.

Złośliwe oprogramowanie zawiera wbudowaną funkcję „nuke”, która po wykonaniu czyści ślady z local storage przeglądarki.

Pomaga to atakującym unikać wykrycia, jednocześnie kontynuując monitorowanie aktywności użytkownika.

Śledzenie danych i ich exfiltracja

Złośliwy kod śledzi zachowanie użytkownika poprzez serię poleceń takich jak PromptTx, Approved i Declined.

Polecenia te pozwalają atakującym monitorować interakcje w czasie rzeczywistym.

Zakodowane dane, w tym adresy portfeli i wartości transakcji, są wysyłane do serwera dowodzenia i kontroli.

Badacze oświadczyli, że co najmniej jeden adres portfela powiązany z kampanią został już zidentyfikowany jako miejsce docelowe skradzionych środków.

Do tej pory nie potwierdzono liczby ofiar. Jednak infrastruktura i metody targetowania sugerują, że kampania aktywnie poszukuje nowych użytkowników.

OpenClaw dystansuje się od kryptowalut

Kampania phishingowa zbiega się ze wzrostem uwagi wokół OpenClaw.

Projekt zyskał widoczność po tym, jak CEO OpenAI Sam Altman ogłosił, że twórca Peter Steinberger poprowadzi jego rozwój w kierunku osobistych agentów AI.

Mimo oszustwa o tematyce kryptowalutowej, Steinberger przyjął stanowczą postawę wobec kryptowalut w ekosystemie OpenClaw.

Wszelkie wzmianki o aktywach kryptowalutowych na serwerze Discord projektu mogą skutkować usunięciem.

Polityka ta wynika z wcześniejszego incydentu podczas rebrandingu OpenClaw.

Wtedy oszuści promowali token oparty na Solanie o nazwie $CLAWD, który osiągnął kapitalizację rynkową około $16 milionów, po czym stracił ponad 90% wartości po zaprzeczeniu związku przez Steinbergera.

OX Security zaleciło użytkownikom zablokowanie domen takich jak token-claw[.]xyz i watery-compost[.]today oraz unikanie łączenia portfeli z nowo odkrytymi lub niezweryfikowanymi platformami.