Oplichting waarbij slachtoffers hun portemonnee leeggehaald wordt, richt zich op de Openclaw-gemeenschap met een nep-airdrop

Crypto-ontwikkelaars gewaarschuwd voor phishingaanval via GitHub

Cyberbeveiligingsbedrijf OX Security meldde deze week dat het de campagne heeft geïdentificeerd, die zich voordoet als het Openclaw-ecosysteem en valse GitHub-accounts gebruikt om ontwikkelaars rechtstreeks te benaderen.

Aanvallers plaatsen issue-threads in repositories en taggen gebruikers, waarbij ze beweren dat ze zijn geselecteerd om voor 5.000 dollar aan zogenaamde CLAW-tokens te ontvangen. De berichten leiden ontvangers naar een frauduleuze website die is ontworpen om openclaw.ai nauwkeurig na te bootsen. Het belangrijkste verschil is een prompt voor het koppelen van een wallet die, zodra deze is goedgekeurd, kwaadaardige activiteiten in gang zet.

Volgens de onderzoekers Moshe Siman Tov Bustan en Nir Zadok van OX Security kan het koppelen van een wallet aan de site ertoe leiden dat geld wordt weggesluisd. De campagne maakt gebruik van social engineering-tactieken die het aanbod op maat lijken te maken. Onderzoekers denken dat aanvallers zich mogelijk richten op gebruikers die eerder interactie hebben gehad met Openclaw-gerelateerde repositories, waardoor de kans op betrokkenheid toeneemt.

Technische analyse toont aan dat de phishing-infrastructuur een omleidingsketen bevat die leidt naar het domein token-claw[.]xyz, evenals een command-and-control-server die wordt gehost op watery-compost[.]today. Kwaadaardige code die is ingebed in een JavaScript-bestand verzamelt walletgegevens, waaronder adressen en transactiedetails, en verzendt deze naar de aanvaller.

OX Security heeft ook een walletadres geïdentificeerd dat gekoppeld is aan de dreigingsactor en dat mogelijk wordt gebruikt om gestolen geld te ontvangen. De code bevat functies die zijn ontworpen om het gedrag van gebruikers te volgen en sporen uit de lokale opslag te wissen, wat detectie en forensische analyse bemoeilijkt.
Hoewel er geen bevestigde slachtoffers zijn gemeld, waarschuwen onderzoekers dat de campagne actief is en zich verder ontwikkelt. Gebruikers wordt aangeraden om crypto-wallets niet te koppelen aan onbekende websites en ongevraagde tokenaanbiedingen op GitHub als verdacht te beschouwen.

Daarnaast publiceerde het cyberbeveiligingsbedrijf Certik diezelfde dag een rapport waarin specifiek de exploits rond "skill scanning" werden besproken. Het bedrijf evalueerde een proof-of-concept-skill die een fout bevatte, en het misbruikte onderdeel was in staat om de sandbox van het Openclaw-systeem te omzeilen.

Deze beveiligingsontwikkelingen komen op het moment dat Openclaw enorm aan populariteit wint onder zowel het grote publiek als crypto-ontwikkelaars, die actief bouwen op het platform.

Veelgestelde vragen 🔎

• Wat is de Openclaw-phishingaanval?
  Een zwendel gericht op ontwikkelaars met valse tokenaanbiedingen die gebruikers misleiden om crypto-wallets te koppelen.
• Hoe werkt de aanval?
  Gebruikers worden doorgestuurd naar een gekloonde website waar het koppelen van een wallet diefstalmechanismen in gang zet.
• Op wie is de aanval gericht?
  Voornamelijk ontwikkelaars die werken met Openclaw-gerelateerde Github-repositories.
• Hoe kunnen gebruikers veilig blijven?
  Vermijd het koppelen van wallets aan onbekende sites en negeer ongevraagde token-weggeefacties.