GitHub'ta, iş birliği ve sürüm kontrolü için kullanılan bir platformda bulunan OpenClaw geliştiricileri, filistin kampanyası kapsamında sahte token verilmesi yoluyla mağdurların kripto cüzdanlarını bağlamaya teşvik edilerek hedef alınmaktadır.
Saldırganlar, sahte GitHub hesapları oluşturdu ve geliştiricileri sorun thread'lerinde etiketleyerek, yaklaşık 5.000 dolarlık CLAW token almayı seçildiklerini iddia etti, Tel Aviv merkezli siber güvenlik şirketi OX Security, Çarşamba günü yayınladığı bir blog gönderisinde bunu belirtti.
Saldırganların gönderileri, OpenClaw web sitesinin neredeyse tamamen aynı bir klonuna bağlantı veriyor, ancak bir önemli eklemeye sahip: bir kripto cüzdanı bağlamak için bir istek. Bir cüzdan bağlandığında, zararlı kod, saldırganların fonları çalmalarına izin verecek işlemler veya onayları tetikleyebilir. OX, bu phising sayfasının MetaMask, WalletConnect ve Trust Wallet gibi büyük cüzdanları desteklediğini ve potansiyel etki alanını genişlettiğini belirtti.
Kampanya, kripto dünyasında giderek daha yaygın hale gelen bir saldırı vektörünü vurguluyor: sosyal mühendislik ve cüzdan bağlantı istekleri, genellikle airdrop veya geliştirici ödülleri olarak gizleniyor. Saldırganlar, OpenClaw ile ilgili depolarla etkileşimde bulunan GitHub kullanıcılarını hedef alarak bu iletişimleri daha inandırıcı hale getirdi.
OpenClaw, son zamanlarda adından yararlanarak kripto ile ilgili dolandırıcılıklar gerçekleştiren açık kaynaklı bir AI ajanı çerçevesi ve geliştirici aracısıdır.
OpenClaw'un kurucusu Peter Steinberger, geçen ay kripto nedeniyle tüm kod tabanını silmek üzere olduğunu söyledi. "Onların sadece rahatsızlık çıkarmada değil, aynı zamanda betik ve araçları kullanmada da gerçekten iyi olduklarını bilmiyordum."
Bu ifadesi, crypto, bitcoin dahil olmak üzere herhangi bir bahsi yasaklamıştı, Ocak ayında sahtekarlar OpenClaw'ın eski hesaplarını ele geçirdikten sonra projenin Discord'unda BTC$69,216.55 hakkında konuşulmasını yasakladı. Hakerler, Steinberger tarafından kamuoyuna reddedildikten sonra geçici olarak 16 milyon dolarlık bir piyasa değeri elde eden sahte CLAWD tokenini tanıttı.
