Злоумышленники активно используют вирусную популярность OpenClaw для проведения фишинговой кампании, нацеленной на разработчиков на GitHub с приманкой в виде бесплатных криптовалютных токенов.
Согласно информации, опубликованной OX Security, кампания включает поддельные аирдропы токенов «CLAW», обещающие вознаграждение в тысячи долларов. Разработчиков заманивают в вредоносные репозитории и обсуждения на GitHub, а затем перенаправляют на убедительно клонированные веб-сайты, которые требуют подключить их криптокошельки.
«Злоумышленник открывает запросы (issues) в контролируемых им репозиториях и отмечает пользователей GitHub для максимальной видимости и охвата», — заявили исследователи OX в посте в блоге. «Ссылка ведет на почти идентичный клон openclaw.ai, с одним ключевым отличием: добавлена кнопка „подключить кошелек“, предназначенная для инициирования кражи средств из кошелька».
Исследователи сообщили, что злоумышленник создал несколько учетных записей для кампании и удалил их все через несколько часов после ее начала. Анализ показал, что на данный момент никто из пользователей не пострадал от этой кампании.
GitHub используется для доставки
Кампания переносит фишинг внутрь рабочих процессов GitHub, что наблюдается не так часто. Злоумышленники создавали или захватывали репозитории, наполняли их привлекательным контентом и усиливали охват, отмечая разработчиков или участвуя в обсуждениях для повышения видимости.
Кампания использует уровень социальной инженерии, включающий правдоподобно выглядящие запросы, пул-реквесты и упоминания репозиториев, чтобы обойти подозрения. GitHub, предположительно, был выбран для использования доверия разработчиков, поскольку они с большей вероятностью перейдут по приманке, распространяемой в знакомой среде.
Жертв сначала привлекают через запросы на GitHub с текстом: «Благодарим за ваш вклад на GitHub. Мы проанализировали профили и выбрали разработчиков для получения доли OpenClaw». Сообщение оформлено как ограниченное по времени раздача токенов CLAW на сумму 5000 долларов, с указанием перейти на вредоносный сайт для их получения. «Мы полагаем, что злоумышленники могут использовать функцию „звездочек“ GitHub для выявления пользователей, отметивших репозитории, связанные с OpenClaw, и нацеливания именно на них, что делает фишинговую кампанию более правдоподобной и релевантной для получателей», — добавили исследователи.
CLAW не является легитимным токеном, а продвигается в рамках мошеннической схемы как новый запуск. Фактически, разработчик OpenClaw Петер Штайнбергер ранее прямо заявлял, что проект никогда не будет выпускать токены, и любое утверждение об обратном является мошенничеством.
Умный, обфусцированный вредоносный код
По данным OX, вредоносный фишинговый код и код для кражи кошельков «сильно обфусцированы» и находятся в JavaScript-файле «eleven.js» в репозитории.
Злоумышленник использовал «watery-compost[.]today» для размещения C2-сервера, который собирал информацию (включая адрес кошелька, сумму транзакции и имя) и опустошал кошельки после их подключения. Команды, используемые C2, включают PromtTx, Approved и Declined. Кроме того, вредоносный код содержит функцию «nuke», которая удаляет информацию о краже кошелька из локального хранилища браузера для избежания обнаружения и криминалистического анализа, добавили исследователи.
Из кода был извлечен адрес «0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5», который был идентифицирован как кошелек злоумышленника, используемый для получения украденной криптовалюты. Утверждается, что фишинговая страница («token-claw[.]xyz») поддерживает несколько крипто-кошельков, включая WalletConnect, Meta*Mask, Trust Wallet, OKX Wallet и Bybit Wallet.
Исследователи OX рекомендовали заблокировать фишинговый домен во всех средах, воздерживаться от подключения криптокошельков к недоверенным веб-сайтам и относиться с подозрением к запросам о раздаче токенов из неизвестных источников. Пользователям также следует проверить все недавние подключения кошельков, связанные с этой кампанией, и немедленно отозвать все разрешения для обеспечения защиты.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
