- Penyerang menargetkan pengembang OpenClaw melalui masalah GitHub dan email phishing.
- Situs berbahaya mengkloning antarmuka resmi dan memicu koneksi dompet untuk mengeksekusi pengurasan dana.
- Malware yang dikaburkan melacak data dompet dan mengirimkannya ke server jarak jauh sebelum mengeksekusi pengurasan.
Kampanye phishing baru menargetkan pengembang yang terkait dengan proyek OpenClaw, menggunakan airdrop token palsu untuk mengelabui pengguna agar menghubungkan dompet kripto. Serangan menyebar melalui GitHub dan situs web kloning, dengan tujuan menguras dana setelah akses diberikan.
Perusahaan keamanan OX Security mengidentifikasi kampanye tersebut, mencatat bahwa penyerang secara aktif menyamar sebagai ekosistem OpenClaw untuk menjangkau pengembang secara langsung.
GitHub Digunakan Sebagai Vektor Serangan Utama
Penyerang tidak mengandalkan spam acak tetapi menargetkan pengembang di tempat mereka paling aktif. Akun GitHub palsu dibuat, dan utas masalah dibuka di repositori yang dikendalikan penyerang.
Lusinan pengembang ditandai di setiap postingan untuk memaksimalkan jangkauan. Pesannya sederhana: penerima telah dipilih untuk menerima token CLAW senilai $5.000.
Penargetan tampaknya disengaja karena penyerang mungkin mengikis pengguna yang berinteraksi dengan repositori terkait OpenClaw, membuat pesan terlihat relevan dan kredibel.
Pada saat yang sama, email phishing dikirim melalui sistem notifikasi GitHub. Email ini mencerminkan nada yang sama dan menggunakan nama seperti “ClawFunding” dan “ClawReward” agar tampak sah.
Situs Palsu Klon Antarmuka OpenClaw
Penyerang mengarahkan pengguna melalui tautan, termasuk penyingkat tautan Google, ke domain phishing yang sangat mirip dengan situs resmi OpenClaw. Antarmukanya terlihat identik, kecuali satu tambahan kunci: prompt koneksi dompet. Setelah dompet terhubung, serangan dimulai.
Halaman phishing mendukung beberapa dompet, termasuk MetaMask, Trust Wallet, OKX Wallet, Bybit Wallet, dan WalletConnect, meningkatkan peluang interaksi pengguna.
Inti dari serangan ini berada di dalam file JavaScript yang dikaburkan. Kode ini menangani interaksi dompet, melacak tindakan pengguna, dan mengirim data ke server jarak jauh.
Data yang diambil mencakup alamat dompet, nilai transaksi, dan ID pengguna. Sistem ini menggunakan sinyal perintah seperti perintah transaksi dan pelacakan persetujuan untuk memantau perilaku secara real time.
Server perintah dan kontrol digunakan untuk menerima data dan mengeksekusi pengurasan. Alamat dompet khusus telah diidentifikasi sebagai tujuan utama dana yang dicuri.
Malware ini juga menyertakan fungsi pembersihan yang menghapus jejak dari browser setelah eksekusi, membuat deteksi dan analisis forensik lebih sulit.
Pada tahap ini, tidak ada laporan yang dikonfirmasi tentang kehilangan dana. Namun, struktur serangan beroperasi penuh.
Kampanye ini diluncurkan menggunakan akun GitHub yang baru dibuat, yang dihapus tak lama setelah aktivitas dimulai. Ini menunjukkan strategi siklus hidup pendek yang dirancang untuk menghindari deteksi.
Terkait: Solana dan Base Bersaing sebagai Agen AI Sepenuhnya Onchain Dengan OpenClaw
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
