Ang mga developer ng OpenClaw sa GitHub, isang platform para sa pakikipagtulungan at pagkontrol ng bersyon, ay tinatahak sa isang phishing campaign gamit ang mga pekeng token giveaway upang hikayatin ang mga biktima na kumonekta sa mga crypto wallet na maaaring ma-drain.
Nilikha ng mga attacker ang mga pekeng GitHub account at tinag ang mga developer sa mga issue thread, sinasabing kanilang napili na makuha ang halos $5,000 na halaga ng CLAW tokens, ayon sa isang blog post ng Tel Aviv-based na cybersecurity company na OX Security noong Miyerkules.
Naglalagay ang mga post ng mga attacker sa isang halos magkaparehong kopya ng website ng OpenClaw, ngunit may isang mahalagang dagdag: isang paghingi na i-connect ang isang crypto wallet. Pagkatapos i-connect ang wallet, maaaring mag-trigger ang masasamang code ng mga transaksyon o pagpapahintulot na nagpapahintulot sa mga attacker na ihiwalay ang mga pondo. Ang phishing page ay sumusuporta sa mga pangunahing wallet kabilang ang MetaMask, WalletConnect at Trust Wallet, na lumalawak sa potensyal na epekto, ayon sa OX.
Ang kampanya ay nagpapakita ng isang lalong karaniwang paraan ng pag-atake sa crypto: social engineering kasama ang mga hiling na kumonekta sa wallet, na madalas na nakapalubog bilang airdrop o mga reward ng developer. Sa pamamagitan ng pagtarget sa mga gumagamit ng GitHub na nag-interact sa mga repository na may kinalaman sa OpenClaw, nagpakita ang mga attacker ng mas kredible ang kanilang pagtawag.
Ang OpenClaw ay isang open-source na AI agent framework at developer tool na kahit recent ay nakakatanggap ng pansin, at kontrobersiya, dahil sa mga crypto-related na scam na nagpapakilala gamit ang kanyang pangalan.
Si Peter Steinberger, ang tagapagtatag ng OpenClaw, sabi niya noong nakaraang buwan na handa na siyang tanggalin ang buong codebase dahil sa crypto. "Hindi ko alam na hindi lang sila mahusay sa pagharass, kundi sila ay talagang mahusay sa paggamit ng mga script at tool."
Ang kanyang pahayag ay sumunod sa isang buong pagbabawal na ipinatupad niya sa anumang pagbanggit ng crypto, kabilang ang bitcoin BTC$69,216.55, sa Discord ng proyekto pagkatapos ay hijack ng mga scammer noong Enero ang mga lumang account ng OpenClaw. Ang mga hacker ay pinromosyon ang isang pekeng CLAWD token na maikli lamang tumama sa $16 milyong market cap bago bumagsak pagkatapos ng pagkakaroon ni Steinberger. Nang magkaroon ng pampublikong pagtanggi si Steinberger tungkol sa anumang kakaibang pakikilahok.