"نقدر مساهماتك على GitHub. لقد قمنا بتحليل الملفات الشخصية واخترنا مطورين للحصول على مخصصات OpenClaw." هذه هي الرسالة التي تلقاها مئات المطورين من حسابات GitHub مزيفة، وهي مجرد طُعم.
نشرت منصة الأمن السيبراني OX Security تقريراً يفصل حملة تصيد احتيالي نشطة تستهدف تحديداً المساهمين في مشروع OpenClaw. الخطة مدروسة بدقة: يقوم المهاجمون بإنشاء حسابات GitHub مؤقتة، وفتح سلاسل نقاش (issue threads) في مستودعات يسيطرون عليها، ثم الإشارة (tag) للمطورين الذين وضعوا نجمة (starred) على المستودعات المتعلقة بـ OpenClaw. تدعي الرسالة أنهم فازوا بـ $CLAW tokens بقيمة $5,000 وتوجههم إلى موقع يبدو مطابقاً تماماً لـ openclaw.ai، مع إضافة زر "Connect your wallet" تم إنشاؤه حديثاً.

احصل على اشتراك GTA+ لمدة شهر واحد عند الطلب المسبق.
اطلب GTA 6 مسبقاً الآن
كيف تم تنفيذ الهجوم
الموقع المزيف، token-claw[.]xyz، هو نسخة مطابقة تقريباً للصفحة الرئيسية الحقيقية لـ OpenClaw، مع إضافة واحدة حاسمة: مطالبة بربط المحفظة. بمجرد أن يقوم المطور بربط محفظته، يبدأ الكود الخبيث في العمل.
كشف تحليل OX Security، المفصل في تقريرهم الكامل، عن وجود منطق استنزاف المحفظة (wallet-draining logic) مخفياً داخل ملف JavaScript معقد للغاية يحمل اسم "eleven.js." بعد فك تعقيد الملف، اكتشف الباحثون "nuke" function مدمجة تقوم بمسح جميع البيانات الخاصة بسرقة المحفظة من التخزين المحلي للمتصفح بمجرد الانتهاء، وذلك خصيصاً لعرقلة التحقيقات الجنائية الرقمية.
يتتبع البرنامج الضار تفاعلات الضحايا من خلال أوامر تشمل PromptTx، وApproved، وDeclined، ثم ينقل البيانات المشفرة إلى خادم للتحكم والسيطرة (C2 server). تتضمن تلك الحمولة المشفرة عناوين المحافظ، وقيم المعاملات، وأسماء الحسابات.
حدد الباحثون عنوان محفظة عملات رقمية واحداً يُعتقد أنه ينتمي إلى المهاجم: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5. في وقت إعداد التقرير، لم تكن المحفظة قد أرسلت أو استقبلت أي أموال بعد.
لماذا كان OpenClaw هو الهدف
لم يقع OpenClaw في مرمى المحتالين بالصدفة. فقد انفجرت شعبية إطار عمل وكيل الذكاء الاصطناعي ذاتي الاستضافة بعد أن أعلن الرئيس التنفيذي لشركة OpenAI سام ألتمان أن مبتكر OpenClaw، بيتر شتاينبرغر، سيقود توجه الشركة نحو وكلاء الذكاء الاصطناعي الشخصي. وصل المشروع إلى 323,000 نجمة على GitHub بعد استحواذ OpenAI عليه، مما جعل قاعدة مساهميه واحدة من أكثر مجتمعات المطورين تميزاً في مجال الذكاء الاصطناعي حالياً.
هذا الملف الشخصي هو بالضبط ما يجعله جذاباً للجهات الفاعلة الخبيثة. يبدو أن المهاجمين استخدموا ميزة النجوم في GitHub لتحديد واستهداف المستخدمين الذين وضعوا نجومًا على مستودعات OpenClaw، مما جعل رسالة الإنزال الجوي (airdrop) المزيفة تبدو محددة وذات مصداقية بشكل مخيف.
كما أنها ليست المرة الأولى التي يواجه فيها OpenClaw انتهازية العملات الرقمية. فقد صرح شتاينبرغر سابقاً لـ Decrypt أن الرسائل المزعجة المتعلقة بالعملات الرقمية كانت تغرق خادم Discord الخاص بـ OpenClaw "كل نصف ساعة تقريباً"، مما أجبرهم في النهاية على فرض حظر شامل على جميع المناقشات المتعلقة بالعملات.
اختفت الحسابات المزيفة بسرعة
تم إنشاء حسابات GitHub الاحتيالية في الأسبوع الماضي فقط وحُذفت في غضون ساعات من إطلاق الحملة. لم يتم الإبلاغ عن أي ضحايا مؤكدين حتى الآن.
أشار قائد فريق البحث موشيه سيمان توف بوستان إلى أن الحملة تشبه هجوماً سابقاً انتشر على GitHub استهدف مستخدمي Solana، على الرغم من أن تحليل العلاقة الدقيقة بين الحملتين لا يزال مستمراً.
يوصي خبراء الأمن بحظر token-claw[.]xyz وwatery-compost[.]today عبر جميع البيئات، وتجنب ربط المحافظ بأي مواقع ظهرت حديثاً أو غير موثقة، بغض النظر عن مدى شرعيتها الظاهرية.
ما التالي لمجتمع OpenClaw
انتقل OpenClaw ليصبح مشروعاً مفتوح المصدر تديره مؤسسة، مما يعني أن قاعدة مساهميه ستستمر في النمو فقط. المزيد من النجوم، المزيد من المطورين، ومساحة أكبر لهذا النوع من الهندسة الاجتماعية المستهدفة. وقد أشارت مناقشة Hacker News حول هذه الحملة إلى العديد من العلامات التحذيرية التي لفتت انتباه القراء المهتمين بالأمن، بما في ذلك السرعة المريبة لإنشاء الحسابات وحذفها.
تم التواصل مع بيتر شتاينبرغر للتعليق. في الوقت الحالي، أفضل دفاع هو التشكيك: لن يقوم أي مشروع شرعي بإخطارك بمخصصات رموز (token allocation) من خلال سلسلة نقاش على GitHub من حساب لم تره من قبل. تأكد من الاطلاع على المزيد:








