Мошенники под видом OpenClaw выманивают криптокошельки у разработчиков под предлогом награды в $5000

Новая фишинговая кампания нацелена на сообщество OpenClaw

Разработчики, вовлеченные в экосистему OpenClaw — инструментария на базе искусственного интеллекта, который ранее был известен как Clawdbot, — стали объектом целенаправленной фишинговой атаки. Злоумышленники используют обещание крупного вознаграждения, чтобы заставить жертв подключить свои криптокошельки к вредоносным ресурсам и тем самым предоставить доступ к активам. Информацию о новой схеме распространила компания по кибербезопасности OX Security.

Суть мошенничества заключается в использовании популярности проекта OpenClaw. Атака ведется через платформу GitHub, которая служит основной средой для разработчиков. Мошенники создают поддельные учетные записи, а затем инициируют обсуждения в репозиториях, которые им подконтрольны. В этих темах они массово отмечают разработчиков, которые ранее проявляли активность, например, ставили «звезды» репозиториям, связанным с OpenClaw, что делало рассылку более релевантной и убедительной.

Приманка: токены CLAW на $5000

В своих сообщениях мошенники обещают потенциальным жертвам «награду» в размере 5000 долларов США в токенах CLAW. Пользователям приписывается заслуга перед проектом с формулировкой вроде: «Спасибо за ваш вклад на GitHub. Мы проанализировали профили и выбрали разработчиков, которые получат доступ к OpenClaw». Чтобы получить обещанную аллокацию токенов, разработчиков убеждают перейти по вредоносной ссылке.

Данная схема является классическим примером социальной инженерии, где используются эмоции, связанные с возможностью получения финансовой выгоды. Следует отметить, что основатель OpenClaw, Питер Штайнбергер, ранее предупреждал, что проект не выпускает собственную криптовалюту, что должно служить первым тревожным сигналом для пользователей.

Клонированный сайт и перехват данных кошельков

Перенаправление жертв происходит на веб-сайт, который практически полностью копирует официальный ресурс openclaw.ai. Единственное критическое отличие — наличие кнопки для подключения криптовалютного кошелька, необходимого якобы для получения бонуса. Фишинговая страница поддерживает подключение через популярные сервисы, включая MetaMask, Trust Wallet, WalletConnect, OKX Wallet и Bybit Wallet, охватывая тем самым широкую базу пользователей.

Как только пользователь подключает свой кошелек, активируется вредоносный JavaScript-код, обфусцированный в файле eleven.js. Этот код не только считывает основные данные пользователя — адрес кошелька, имя, информацию о сумме транзакции, — но и может инициировать несанкционированные транзакции или одобрения. Скомпрометированные данные затем отправляются на управляющий сервер злоумышленников, имеющий адрес watery-composttoday.

Эксперты OX Security зафиксировали команды PromtTx, Approved и Declined в коде, что свидетельствует о попытках отслеживать действия пользователя в процессе взаимодействия с кошельком.

Следы заметаются: функция «Nuke»

Исследователи обнаружили в коде интересную особенность — функцию под названием nuke. Ее задача — удалить следы вредоносной активности из браузера жертвы сразу после завершения операции. Это значительно усложняет последующий криминалистический анализ инцидента для пострадавших и специалистов по безопасности.

Среди индикаторов компрометации, которые были зафиксированы, фигурируют домен token-clawxyz и сервер C2, что позволяет администраторам и пользователям блокировать известные векторы атаки.