coinedition.com
- Злоумышленники нацеливаются на разработчиков OpenClaw через проблемы с GitHub и фишинговые письма.
- Вредоносный сайт клонирует официальный интерфейс и запускает подключение кошелька для отвода средств.
- Замаскированное вредоносное ПО отслеживает данные кошелька и отправляет их на удалённый сервер перед выполнением слива.
Новая фишинговая кампания нацелена на разработчиков, связанных с проектом OpenClaw, используя фейковые токены, чтобы обмануть пользователей и заставить их подключить криптокошельки. Атака распространяется через GitHub и клонированные сайты, с целью истощать средства после получения доступа.
Компания по безопасности OX Security выявила эту кампанию, отметив, что злоумышленники активно выдают себя за экосистему OpenClaw, чтобы напрямую достучаться до разработчиков.
Folks, if you get crypto emails from websites claiming to be associated with openclaw, it's ALWAYS a scam.
— Peter Steinberger 🦞 (@steipete) March 18, 2026
We would never do that. The project is open source and non-commercial. Use the official website. Be sceptical of folks trying to build commercial wrappers on top of it.
GitHub используется как основной вектор атаки
Злоумышленники не полагаются на случайный спам, а нацелены на разработчиков там, где они наиболее активны. Создаются фейковые аккаунты на GitHub, а потоки проблем открываются в репозиториях, контролируемых злоумышленниками.
Десятки разработчиков отмечены в каждом посте для максимизации охвата. Сообщение простое: получатели выбраны для получения токена CLAW на сумму $5,000.
Таргетинг кажется намеренным, так как злоумышленники могут скрапать пользователей, взаимодействовавших с репозиториями, связанными с OpenClaw, что делает сообщения релевантными и достоверными.
В то же время через системы уведомлений GitHub отправляются фишинговые письма. Эти письма повторяют ту же идею и используют такие названия, как «ClawFunding» и «ClawReward», чтобы выглядеть легитимно.
Интерфейс OpenClaw клонов фейковых сайтов
Злоумышленники перенаправили пользователей через ссылки, включая укорачиватели Google, на фишинговый домен, который очень похож на официальный сайт OpenClaw. Интерфейс выглядит идентично, за исключением одного ключевого добавления: запроса подключения кошелька. После подключения кошелька начинается атака.
Фишинговая страница поддерживает несколько кошельков, включая MetaMask, Trust Wallet, OKX Wallet, Bybit Wallet и WalletConnect, что увеличивает вероятность взаимодействия с пользователями.
Ядро атаки находится внутри запутанного JavaScript-файла. Этот код обрабатывает взаимодействие кошелька, отслеживает действия пользователя и отправляет данные на удалённый сервер.
Собранные данные включают адреса кошельков, значения транзакций и идентификаторы пользователей. Система использует командные сигналы, такие как подсказки транзакций и отслеживание одобрения, для мониторинга поведения в реальном времени.
Сервер команд и управления используется для приема данных и выполнения слива. Выделенный адрес кошелька был определён как основное место назначения, полученного для украденных средств.
Вредоносное ПО также включает функцию очистки, которая удаляет следы из браузера после запуска, что усложняет обнаружение и судебный анализ.
На данный момент нет подтверждённых сообщений о потере средств. Однако структура атаки полностью оперативна.
Кампания была запущена с использованием недавно созданных аккаунтов GitHub, которые были удалены вскоре после начала активности. Это указывает на стратегию короткого жизненного цикла, направленную на предотвращение обнаружения.
Связано: Солана и база соревнуются, когда агенты ИИ полностью интегрируются в блокчейн с OpenClaw