Krypto-Betrüger nutzen die zunehmende Sichtbarkeit von OpenClaw, um Entwickler über eine koordinierte Phishing-Kampagne auf GitHub ins Visier zu nehmen, laut einem Bericht von OX Security.
Die Kampagne dreht sich um gefälschte Belohnungsansprüche in Verbindung mit $CLAW-Token und zielt darauf ab, Nutzer dazu zu bringen, ihre Krypto-Wallets mit bösartigen Websites zu verbinden.
Die Aktivität ist aufgetaucht, während OpenClaw nach Führungswechseln und der Umstellung auf ein von einer Stiftung betriebenes Open-Source-Projekt an Fahrt gewinnt.
Forscher zufolge nutzen Angreifer die Entwickleraktivität auf GitHub, um das Vorgehen glaubwürdig und personalisiert wirken zu lassen.
Gezielte Taktiken auf GitHub
Die Phishing-Operation wird über von Angreifern kontrollierte GitHub-Repositories durchgeführt.
Böswillige Akteure erstellen gefälschte Konten, öffnen Issue-Threads und markieren zahlreiche Entwickler, um die Sichtbarkeit zu maximieren.
In einem von den Forschern hervorgehobenen Beispiel wurde Entwicklern mitgeteilt, dass sie für eine OpenClaw-Zuteilung ausgewählt worden seien.
Die Nachricht behauptete, die Empfänger hätten $5,000 im Wert von $CLAW-Token gewonnen und wies sie auf eine Website, die openclaw.ai sehr ähnlich gestaltet war.
Es wird angenommen, dass die Angreifer Ziele identifizieren, indem sie das Star‑Feature von GitHub analysieren.
Indem sie sich auf Nutzer konzentrieren, die Repositories im Zusammenhang mit OpenClaw mit einem Stern markiert haben, wirken die Nachrichten relevanter und überzeugender.
Mechanismus zum Leeren von Wallets
Sobald Nutzer auf der gefälschten Seite landen, werden sie über eine Funktion „Wallet verbinden“ aufgefordert, ihre Krypto-Wallets zu verbinden.
Dieser Schritt aktiviert bösartige Skripte, die es Angreifern ermöglichen, Gelder abzuziehen.
OX Security berichtete, dass die Phishing-Seiten obfuskiertes JavaScript enthalten, das dazu entwickelt wurde, Funktionen zum Diebstahl von Wallets zu verbergen.
Eine Datei namens eleven.js wurde als zentraler Bestandteil des Angriffs identifiziert.
Die Malware enthält eine eingebaute „nuke“-Funktion, die nach der Ausführung Spuren aus dem lokalen Speicher des Browsers entfernt.
Das hilft Angreifern, der Entdeckung zu entgehen und gleichzeitig die Nutzeraktivitäten weiter zu überwachen.
Datenverfolgung und Exfiltration
Der bösartige Code verfolgt das Nutzerverhalten durch eine Reihe von Befehlen wie PromptTx, Approved und Declined.
Diese Befehle ermöglichen es Angreifern, Interaktionen in Echtzeit zu überwachen.
Kodierte Daten, einschließlich Wallet-Adressen und Transaktionswerte, werden an einen Command-and-Control-Server gesendet.
Forscher gaben an, dass mindestens eine Wallet-Adresse, die mit der Kampagne in Verbindung steht, bereits als Empfänger gestohlener Gelder identifiziert wurde.
Bisher gibt es keine bestätigte Zahl von Opfern. Die Infrastruktur und die Zielmethoden deuten jedoch darauf hin, dass die Kampagne aktiv nach neuen Nutzern sucht.
OpenClaw distanziert sich von Krypto
Die Phishing-Kampagne fällt zeitlich mit der wachsenden Aufmerksamkeit für OpenClaw zusammen.
Das Projekt gewann an Sichtbarkeit, nachdem OpenAI-CEO Sam Altman angekündigt hatte, dass der Gründer Peter Steinberger die Vorstöße in Richtung personalisierter KI-Agenten leiten werde.
Trotz des krypto-bezogenen Betrugs hat Steinberger innerhalb des OpenClaw-Ökosystems eine strikte Haltung gegenüber Kryptowährungen eingenommen.
Jeder Hinweis auf Krypto-Assets auf dem Discord-Server des Projekts kann zur Entfernung führen.
Diese Richtlinie folgt einem früheren Vorfall während des Rebrandings von OpenClaw.
Damals bewarben Betrüger einen Solana-basierten Token namens $CLAWD, der eine Marktkapitalisierung von etwa $16 million erreichte, bevor er nach Steinbergers Dementi um mehr als 90% einbrach.
OX Security hat Nutzern geraten, Domains wie token-claw.xyz und watery-compost.today zu blockieren und zu vermeiden, Wallets mit neu entdeckten oder nicht verifizierten Plattformen zu verbinden.
The post Hacker nutzen OpenClaw‑Hype auf GitHub, um Krypto‑Gelder zu stehlen appeared first on Invezz
