Hackare utnyttjar OpenClaw-hype på GitHub för att stjäla kryptomedel

Kryptobedragare utnyttjar OpenClaws ökade synlighet för att rikta in sig på utvecklare genom en koordinerad phishingkampanj på GitHub, enligt en rapport av OX Security.

Kampanjen kretsar kring falska belöningar kopplade till $CLAW-tokens och syftar till att lura användare att ansluta sina kryptoplånböcker till skadliga webbplatser.

Aktiviteten har dykt upp i samband med att OpenClaw fått genomslag efter ledarskapsförändringar och dess övergång till ett stiftelsedrivet open source-projekt.

Forskare uppger att angriparna utnyttjar utvecklaraktivitet på GitHub för att få upplägget att framstå som trovärdigt och personligt anpassat.

Så riktar angriparna sig på GitHub

Phishingoperationen genomförs via GitHub-repositorier som kontrolleras av angriparna.

Skadliga aktörer skapar falska konton, öppnar issue-trådar och taggar ett stort antal utvecklare för att maximera synligheten.

I ett exempel som forskarna lyfter fram fick utvecklare besked om att de blivit utvalda för en OpenClaw-allokering.

Meddelandet hävdade att mottagarna vunnit $5,000 i $CLAW-tokens och hänvisade dem till en webbplats utformad för att noggrant efterlikna openclaw.ai.

Angriparna tros identifiera måltavlor genom att analysera GitHubs stjärnfunktion.

Genom att rikta sig mot användare som stjärnat repositories kopplade till OpenClaw framstår meddelandena som mer relevanta och övertygande.

Mekanism för plånbokstömning

När användare kommer till den falska sajten uppmanas de att ansluta sina kryptoplånböcker via en funktion märkt ”Anslut din plånbok”.

Detta steg aktiverar skadliga skript som gör det möjligt för angriparna att tömma medel.

OX Security rapporterade att phishing-sidorna innehåller obfuskad JavaScript utformad för att dölja funktioner som stjäl plånböcker.

En fil med namnet eleven.js har identifierats som en nyckelkomponent i attacken.

Den skadliga koden innehåller en inbyggd funktion kallad ”nuke”, som rensar spår från webbläsarens lokala lagring efter körning.

Detta hjälper angriparna att undvika upptäckt samtidigt som de fortsätter övervaka användaraktivitet.

Spårning och exfiltrering av data

Den skadliga koden spårar användarbeteende via en serie kommandon såsom PromptTx, Approved och Declined.

Dessa kommandon gör det möjligt för angriparna att övervaka interaktioner i realtid.

Kodad data, inklusive plånboksadresser och transaktionsbelopp, skickas till en command-and-control-server.

Forskare uppgav att minst en plånboksadress kopplad till kampanjen redan identifierats som en destination för stulna medel.

Ingen bekräftad siffra för antalet offer finns än så länge. Infrastrukturen och målinriktningen tyder dock på att kampanjen aktivt söker nya användare.

OpenClaw tar avstånd från krypto

Phishingkampanjen sammanfaller med ökad uppmärksamhet kring OpenClaw.

Projektet fick synlighet efter att OpenAI:s VD Sam Altman meddelade att skaparen Peter Steinberger skulle leda satsningen på personliga AI‑agenter.

Trots det krypto‑inspirerade bedrägeriet har Steinberger antagit en strikt hållning mot kryptovalutor inom OpenClaw‑ekosystemet.

Alla omnämnanden av kryptotillgångar på projektets Discord‑server kan leda till borttagning.

Denna policy följer en tidigare incident i samband med OpenClaws omprofilering.

Vid den tiden marknadsförde bedragare en Solana‑baserad token kallad $CLAWD, som nådde en marknadskapitalisering på omkring $16 million innan den föll med mer än 90% efter att Steinberger förnekade någon koppling.

OX Security har rekommenderat användare att blockera domäner som token-claw[.]xyz och watery-compost[.]today samt att undvika att ansluta plånböcker till nyligen upptäckta eller icke verifierade plattformar.