GitHub 上的 OpenClaw 開發者正成為一場釣魚攻擊的目標,攻擊者透過虛假的代幣贈送活動誘騙受害者連接加密錢包,進而盜取資金。
週三,總部位於特拉維夫的網路安全公司 OX Security 在部落格文章中表示,攻擊者創建了虛假的 GitHub 帳戶,並在問題討論串中標記開發者,聲稱他們已被選中獲取價值約 $5,000 的 CLAW 代幣。
攻擊者發布的貼文連結到一個與 OpenClaw 網站幾乎完全相同的複製站點,但增加了一個關鍵內容:提示連接加密貨幣錢包。一旦連接錢包,惡意代碼便可觸發交易或授權,使攻擊者能夠竊取資金。OX 表示,此釣魚頁面支援主要錢包,包括 MetaMask、WalletConnect 和 Trust Wallet,擴大了潛在影響範圍。
該活動突顯了加密貨幣中日益常見的攻擊手法:社交工程結合錢包連接請求,通常偽裝成空投或開發者獎勵。攻擊者針對與 OpenClaw 相關儲存庫互動的 GitHub 用戶,使這類推廣看起來更具可信度。
OpenClaw 是一個開源的 AI 代理框架和開發者工具,最近因有人濫用其名義進行加密貨幣詐騙而引起關注與爭議。
彼得·施泰因伯格,OpenClaw 的創始人,上個月表示他幾乎要刪除整個程式碼庫,因為加密貨幣。「我沒想到他們不僅擅長騷擾,還非常擅長使用腳本和工具。」
他的聲明 跟隨他實施的全面禁令,禁止在專案的 Discord 中提及任何加密貨幣,包括比特幣 BTC$69,216.55,此禁令是在一月騙子劫持 OpenClaw 的舊帳戶後實施的。駭客推廣了一個虛假的 CLAWD 代幣,該代幣在短暫達到 16 百萬美元的市值後,於 Steinberger 公開否認任何參與後崩潰。