針對 OpenClaw 開發者的 GitHub 鉤魚活動利用虛假空投竊取加密錢包資金

ChainCatcher 消息，据市場消息，安全平台 OX Security 披露，AI 代理項目 OpenClaw 的開發者正成為加密貨幣釣魚活動的目標。

攻擊者創建虛假 GitHub 帳號，在攻擊者控制的倉庫中發起議題並 @ 數十名開發者，聲稱其贏得 5000 美元 CLAW 代幣獎勵，並引導至與 openclaw.ai 幾乎完全相同的克隆網站。該釣魚網站多了一個"連接錢包"按鈕，旨在竊取連接的錢包資產。惡意代碼隱藏在經過深度混淆的 JavaScript 文件中，具備清除瀏覽器本地存儲數據的"nuke"功能以阻礙取證分析，並將錢包地址、交易值等信息編碼後傳回 C2 伺服器。研究者識別出一個疑似用於接收被盜資金的加密錢包地址。相關帳號上週創建，數小時內即被刪除，目前尚無確認受害者。OpenClaw 因其高關注度已成為詐騙分子的目標，其 Discord 社區此前也遭遇大量加密貨幣垃圾信息。此前消息，OpenClaw 創始人提醒稱，警惕假冒 OpenClaw 名義發送的加密貨幣詐騙郵件。