Saldırganlar GitHub'daki OpenClaw ilgisini kullanıp kripto fonlarını çalıyor

Kripto dolandırıcıları, OX Security'nin bir raporuna göre, OpenClaw'ın artan görünürlüğünü kullanarak GitHub üzerinden geliştiricileri hedef alan koordineli bir oltalama kampanyası yürütüyor.

Kampanya, $CLAW tokenlarına bağlı sahte ödül iddiaları etrafında şekilleniyor ve kullanıcıları kripto cüzdanlarını kötü amaçlı web sitelerine bağlamaya ikna etmeyi amaçlıyor.

Bu faaliyet, liderlik değişiklikleri ve OpenClaw'ın vakıf yönetiminde açık kaynaklı bir projeye dönüşmesinin ardından ilgi kazanırken ortaya çıktı.

Araştırmacılar, saldırganların şemayı daha inandırıcı ve kişiselleştirilmiş göstermek için GitHub'daki geliştirici etkinliğini istismar ettiğini söylüyor.

GitHub hedefleme taktikleri

Oltalama operasyonu, saldırganların kontrolündeki GitHub depoları aracılığıyla yürütülüyor.

Kötü niyetli kişiler sahte hesaplar oluşturuyor, issue başlıkları açıyor ve görünürlüğü maksimize etmek için çok sayıda geliştiriciyi etiketliyor.

Araştırmacıların öne çıkardığı bir örnekte, geliştiricilere OpenClaw tahsisi için seçildikleri bildirildi.

Mesaj, alıcıların $5,000 değerinde $CLAW tokeni kazandıklarını iddia etti ve onları openclaw.ai'yi yakından taklit edecek şekilde tasarlanmış bir web sitesine yönlendirdi.

Saldırganların hedefleri GitHub'ın yıldız (star) özelliğini analiz ederek belirledikleri düşünülüyor.

OpenClaw ile ilişkili depoları 'star'layan kullanıcılara odaklanarak, mesajlar daha alakalı ve ikna edici görünüyor.

Cüzdan boşaltma mekanizması

Kullanıcılar sahte siteye yönlendirildiğinde, “Cüzdanınızı bağlayın” işlevi aracılığıyla kripto cüzdanlarını bağlamaları isteniyor.

Bu adım, saldırganların fonları boşaltmasını sağlayan kötü amaçlı betikleri etkinleştiriyor.

OX Security, oltalama sayfalarının cüzdan çalma işlevlerini gizlemek amacıyla karıştırılmış JavaScript içerdiğini bildirdi.

eleven.js adlı bir dosyanın saldırının temel bileşenlerinden biri olduğu tespit edildi.

Kötü amaçlı yazılım içinde yerleşik bir “nuke” fonksiyonu bulunuyor; bu fonksiyon çalıştırıldıktan sonra tarayıcının local storage'undaki izleri temizliyor.

Bu, saldırganların kullanıcı etkinliğini izlemeye devam ederken tespit edilmekten kaçınmalarına yardımcı oluyor.

Veri izleme ve sızdırma

Kötü amaçlı kod, PromptTx, Approved ve Declined gibi bir dizi komut aracılığıyla kullanıcı davranışını izliyor.

Bu komutlar saldırganların etkileşimleri gerçek zamanlı izlemesine olanak tanıyor.

Cüzdan adresleri ve işlem değerleri dahil kodlanmış veriler, bir komuta ve kontrol sunucusuna gönderiliyor.

Araştırmacılar, kampanyayla bağlantılı en az bir cüzdan adresinin çalınan fonların gönderildiği bir hedef olarak zaten tespit edildiğini söyledi.

Şu ana kadar doğrulanmış bir kurban sayısı yok. Ancak altyapı ve hedefleme yöntemleri kampanyanın aktif olarak yeni kullanıcılar aradığını gösteriyor.

OpenClaw'ın kriptodan mesafesi

Oltalama kampanyası, OpenClaw'a yönelik ilginin artmasıyla aynı döneme denk geliyor.

Proje, OpenAI CEO'su Sam Altman'ın yaratıcı Peter Steinberger'in kişisel yapay zeka ajanlarına yönelme çabalarına liderlik edeceğini açıklamasının ardından görünürlük kazandı.

Kripto temalı dolandırıcılığa rağmen, Steinberger OpenClaw ekosisteminde kripto paralara karşı katı bir tutum aldı.

Projenin Discord sunucusunda kripto varlıklarına yapılan herhangi bir atıf kaldırılmayla sonuçlanabiliyor.

Bu politika, OpenClaw'ın yeniden markalaşması sırasında yaşanan önceki bir olayı takip ediyor.

O sırada dolandırıcılar $CLAWD adlı Solana tabanlı bir tokeni tanıttı; bu token Steinberger herhangi bir bağlantı reddettikten sonra %90'tan fazla değer kaybetmeden önce yaklaşık 16 milyon dolarlık piyasa değerine ulaştı.

OX Security, kullanıcıları token-claw[.]xyz ve watery-compost[.]today gibi alan adlarını engellemeleri ve yeni keşfedilmiş veya doğrulanmamış platformlara cüzdan bağlamaktan kaçınmaları konusunda uyardı.