針對OpenClaw開發者的GitHub釣魚活動利用虛假空投竊取加密錢包資金

據Decrypt報道，安全平台OX Security披露，AI代理項目OpenClaw的開發者正成為加密貨幣釣魚活動的目標。攻擊者創建虛假GitHub賬號，在攻擊者控制的倉庫中發起議題並@數十名開發者，聲稱其贏得5000美元CLAW代幣獎勵，並引導至與openclaw.ai幾乎完全相同的克隆網站。該釣魚網站多了一個“連接錢包”按鈕，旨在竊取連接的錢包資產。

惡意代碼隱藏在經過深度混淆的JavaScript文件中，具備清除瀏覽器本地存儲數據的“nuke”功能以阻礙取證分析，並將錢包地址、交易值等信息編碼後傳回C2服務器。研究者識別出一個疑似用於接收被盜資金的加密錢包地址。相關賬號上周創建，數小時內即被刪除，目前尚無確認受害者。OpenClaw因其高關注度已成為詐騙分子的目標，其Discord社區此前也遭遇大量加密貨幣垃圾信息。

此前消息，OpenClaw創始人提醒稱，警惕假冒OpenClaw名義發送的加密貨幣詐騙郵件。