- Angreifer zielen OpenClaw-Entwickler über GitHub-Probleme und Phishing-E-Mails an.
- Die bösartige Seite klont die offizielle Schnittstelle und löst die Wallet-Verbindung aus, um Geldabzüge durchzuführen.
- Obfuskierte Malware verfolgt Wallet-Daten und sendet sie an einen entfernten Server, bevor sie den Drain ausführt.
Eine neue Phishing-Kampagne richtet sich gegen Entwickler, die mit dem OpenClaw-Projekt in Verbindung stehen, und nutzt gefälschte Token-Airdrops, um Nutzer dazu zu bringen, Krypto-Wallets zu verbinden. Der Angriff breitet sich über GitHub und geklonte Webseiten aus, mit dem Ziel, Mittel zu entziehen, sobald der Zugang gewährt wird.
Das Sicherheitsunternehmen OX Security identifizierte die Kampagne und wies darauf hin, dass Angreifer aktiv das OpenClaw-Ökosystem imitieren, um Entwickler direkt zu erreichen.
GitHub als primärer Angriffsvektor verwendet
Die Angreifer verlassen sich nicht auf zufälligen Spam, sondern zielen auf Entwickler an, wo sie am aktivsten sind. Gefälschte GitHub-Konten werden erstellt, und Issue-Threads werden in angreifergesteuerten Repositories geöffnet.
Dutzende Entwickler werden in jedem Beitrag markiert, um die Reichweite zu maximieren. Die Nachricht ist einfach: Die Empfänger wurden ausgewählt, um CLAW-Token im Wert von 5.000 Dollar zu erhalten.
Die Zielerfassung scheint bewusst zu sein, da Angreifer möglicherweise Nutzer scrapen, die mit OpenClaw-bezogenen Repositories interagiert haben, wodurch die Nachrichten relevant und glaubwürdig erscheinen.
Gleichzeitig werden Phishing-E-Mails über GitHub-Benachrichtigungssysteme verschickt. Diese E-Mails spiegeln denselben Pitch wider und verwenden Namen wie „ClawFunding“ und „ClawReward“, um seriös zu wirken.
Fake Site Clones OpenClaw-Schnittstelle
Die Angreifer leiteten Nutzer über Links, darunter Google-Linkverkürzer, auf eine Phishing-Domain um, die der offiziellen OpenClaw-Seite eng ähnelt. Die Benutzeroberfläche sieht identisch aus, abgesehen von einer wichtigen Neuerung: einer Wallet-Verbindungsaufforderung. Sobald die Wallet verbunden ist, beginnt der Angriff.
Die Phishing-Seite unterstützt mehrere Wallets, darunter MetaMask, Trust Wallet, OKX Wallet, Bybit Wallet und WalletConnect, was die Wahrscheinlichkeit einer Nutzerinteraktion erhöht.
Der Kern des Angriffs befindet sich in einer verschleierten JavaScript-Datei. Dieser Code übernimmt die Wallet-Interaktion, verfolgt Benutzeraktionen und sendet Daten an einen entfernten Server.
Erfasste Daten umfassen Wallet-Adressen, Transaktionswerte und Benutzerkennungen. Das System verwendet Befehlssignale wie Transaktionshinweise und Genehmigungsverfolgung, um das Verhalten in Echtzeit zu überwachen.
Ein Command-and-Control-Server wird verwendet, um die Daten zu empfangen und den Drain auszuführen. Eine dedizierte Wallet-Adresse wurde als Hauptziel für gestohlene Gelder identifiziert.
Die Malware enthält außerdem eine Reinigungsfunktion, die nach der Ausführung Spuren aus dem Browser entfernt, was die Erkennung und forensische Analyse erschwert.
Derzeit gibt es keine bestätigten Berichte über verlorene Mittel. Die Struktur des Angriffs ist jedoch voll funktionsfähig.
Die Kampagne wurde mit neu erstellten GitHub-Konten gestartet, die kurz nach Beginn der Aktivitäten gelöscht wurden. Dies deutet auf eine Strategie mit kurzem Lebenszyklus hin, die darauf ausgelegt ist, eine Entdeckung zu vermeiden.
Verwandt: Solana und Base konkurrieren, während KI-Agenten vollständig mit OpenClaw Onchain werden
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
