Hackeri exploatează entuziasmul OpenClaw pe GitHub pentru a fura fonduri crypto

Escrocii crypto exploatează vizibilitatea tot mai mare a OpenClaw pentru a viza dezvoltatorii printr-o campanie coordonată de phishing pe GitHub, conform unui raport al OX Security.

Campania se concentrează pe cereri false de recompensă legate de tokenii $CLAW şi urmăreşte să determine utilizatorii să-şi conecteze portofelele crypto la site-uri maliţioase.

Activitatea a apărut pe măsură ce OpenClaw a câştigat tracţiune după schimbări în conducere şi tranziţia sa către un proiect open source administrat de o fundaţie.

Cercetătorii spun că atacatorii valorifică activitatea dezvoltatorilor pe GitHub pentru a face schema să pară credibilă şi personalizată.

Metode de ţintire pe GitHub

Operaţiunea de phishing este derulată prin intermediul unor repo-uri GitHub controlate de atacatori.

Actorii maliţioşi creează conturi false, deschid fire de discuţii (issue threads) şi etichetează un număr mare de dezvoltatori pentru a maximiza vizibilitatea.

Într-un exemplu evidenţiat de cercetători, dezvoltatorilor li s-a comunicat că au fost selectaţi pentru o alocare OpenClaw.

Mesajul susţinea că destinatarii au câştigat 5.000 USD în tokeni $CLAW şi îi direcţiona către un site conceput să imite foarte bine openclaw.ai.

Se crede că atacatorii identifică ţintele analizând funcţia de star a GitHub.

Concentrându-se pe utilizatorii care au dat star repo-urilor legate de OpenClaw, mesajele par mai relevante şi mai convingătoare.

Mecanism de drenare a portofelelor

Odată ajunşi pe site-ul fals, utilizatorilor li se cere să îşi conecteze portofelele crypto printr-o funcţie intitulată “Connect your wallet”.

Acest pas activează scripturi maliţioase care permit atacatorilor să golească fondurile.

OX Security a raportat că paginile de phishing includ JavaScript ofuscate, concepute pentru a ascunde funcţiile de furt ale portofelelor.

Un fişier numit eleven.js a fost identificat ca fiind un component cheie al atacului.

Malware-ul include o funcţie „nuke” încorporată, care şterge urmele din local storage-ul browserului după execuţie.

Aceasta ajută atacatorii să evite detectarea în timp ce continuă să monitorizeze activitatea utilizatorilor.

Urmărirea şi exfiltrarea datelor

Codul maliţios urmăreşte comportamentul utilizatorilor printr-o serie de comenzi precum PromptTx, Approved şi Declined.

Aceste comenzi permit atacatorilor să monitorizeze interacţiunile în timp real.

Datele codificate, inclusiv adresele de portofel şi valorile tranzacţiilor, sunt trimise către un server de tip command and control.

Cercetătorii au declarat că cel puţin o adresă de portofel legată de campanie a fost deja identificată ca destinaţie pentru fonduri furate.

Până acum nu există un număr confirmat de victime. Totuşi, infrastructura şi metodele de ţintire sugerează că campania caută activ noi utilizatori.

OpenClaw se distanţează de criptomonede

Campania de phishing coincide cu atenţia tot mai mare asupra OpenClaw.

Proiectul a câştigat vizibilitate după ce CEO-ul OpenAI, Sam Altman, a anunţat că creatorul Peter Steinberger va conduce extinderea către agenţi personali AI.

În ciuda escrocheriei pe temă crypto, Steinberger a adoptat o poziţie strictă împotriva criptomonedelor în cadrul ecosistemului OpenClaw.

Orice menţiune a activelor crypto pe serverul Discord al proiectului poate duce la eliminare.

Această politică urmează unui incident anterior în timpul rebrand-ului OpenClaw.

La acel moment, escrocii au promovat un token bazat pe Solana numit $CLAWD, care a atins o capitalizare de piaţă de aproximativ 16 milioane USD înainte să scadă cu peste 90% după ce Steinberger a negat orice legătură.

OX Security a recomandat utilizatorilor să blocheze domenii precum token-claw[.]xyz şi watery-compost[.]today şi să evite conectarea portofelelor la platforme nou-descoperite sau neverificate.