"نقدر مساهماتكم على GitHub. لقد قمنا بتحليل الملفات الشخصية واختارنا المطورين للحصول على تخصيص OpenClaw." هذه هي الرسالة التي يتلقاها مئات المطورين من حسابات GitHub وهمية، وهي فخ.
نشرت منصة الأمان OX Security تقريرًا يفصل حملة تصيد احتيالي نشطة تستهدف بشكل خاص المساهمين في مشروع OpenClaw. الإعداد محسوب: يقوم المهاجمون بإنشاء حسابات GitHub يمكن التخلص منها، ويفتحون سلاسل قضايا في مستودعات يتحكم فيها المهاجمون، ويضعون علامة على المطورين الذين قاموا بتمييز المستودعات المتعلقة بـ OpenClaw. تدعي الرسالة أنهم فازوا بـ 5,000 دولار أمريكي من رموز $CLAW وتشير إليهم إلى موقع يبدو مطابقًا تقريبًا لـ openclaw.ai، مع إضافة زر "Connect your wallet" حديثًا.
كيف تطور الهجوم
الموقع المزيف، token-claw[.]xyz، هو نسخة طبق الأصل من الصفحة الرئيسية الحقيقية لـ OpenClaw، مع إضافة واحدة حاسمة: موجه اتصال المحفظة. بمجرد أن يقوم المطور بتوصيل محفظته، يبدأ الكود الخبيث في العمل.
تحليل OX Security، المفصل في تحليلهم الكامل، وجد أن منطق استنزاف المحفظة مدفون داخل ملف JavaScript مشفر للغاية يسمى "eleven.js." بعد فك تشفيره، اكتشف الباحثون وظيفة "nuke" مدمجة تقوم بمسح جميع بيانات سرقة المحفظة من التخزين المحلي للمتصفح بمجرد الانتهاء، وذلك خصيصًا لإحباط التحقيقات الجنائية.
يتتبع البرامج الضارة تفاعلات الضحايا من خلال أوامر تشمل PromptTx و Approved و Declined، ثم يرسل البيانات المشفرة مرة أخرى إلى خادم القيادة والتحكم (C2). تتضمن هذه الحمولة المشفرة عناوين المحافظ وقيم المعاملات وأسماء الحسابات.
حدد الباحثون عنوان محفظة تشفير واحدة يُعتقد أنها تنتمي إلى الجهة الفاعلة في التهديد: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5. في وقت إعداد التقرير، لم تكن قد أرسلت أو استقبلت أي أموال بعد.
لماذا كان OpenClaw هو الهدف
هذه هي الحقيقة: لم ينتهي الأمر بـ OpenClaw في مرمى المحتالين بالصدفة. انفجر إطار وكيل الذكاء الاصطناعي المستضاف ذاتيًا في الظهور بعد أن أعلن الرئيس التنفيذي لشركة OpenAI سام ألتمان أن منشئ OpenClaw بيتر شتاينبرغر سيقود دفعة الشركة نحو وكلاء الذكاء الاصطناعي الشخصيين. وصل المشروع إلى 323,000 نجمة على GitHub بعد الاستحواذ عليه من قبل OpenAI، مما يجعل قاعدة المساهمين فيه واحدة من أبرز مجتمعات المطورين شهرة في مجال الذكاء الاصطناعي حاليًا.
هذا الملف الشخصي هو بالضبط ما يجعله جذابًا للمتسللين. لاحظت OX Security أن المهاجمين يبدو أنهم استخدموا ميزة النجوم في GitHub لتحديد واستهداف المستخدمين الذين قاموا بتمييز مستودعات OpenClaw، مما يجعل رسالة الإنزال الجوي المزيفة تبدو محددة وموثوقة بشكل مخيف.
هذه ليست أول مواجهة لـ OpenClaw مع انتهازية العملات المشفرة. أخبر شتاينبرغر سابقًا Decrypt أن البريد العشوائي للعملات المشفرة كان يغمر Discord الخاص بـ OpenClaw "كل نصف ساعة تقريبًا"، مما أجبر في النهاية على حظر شامل لجميع المناقشات المتعلقة بالعملات.
اختفت الحسابات المزيفة بسرعة
تم إنشاء حسابات GitHub الاحتيالية الأسبوع الماضي فقط وتم حذفها في غضون ساعات من إطلاق الحملة. وفقًا لـ OX Security، لم يتم الإبلاغ عن أي ضحايا مؤكدين حتى الآن.
لاحظ موشيه سيمان توف بوستان، قائد فريق أبحاث OX Security، أن الحملة تحمل تشابهًا مع هجوم سابق انتشر على GitHub استهدف مستخدمي Solana، على الرغم من أن تحليل العلاقة الدقيقة بين الحملتين لا يزال مستمرًا.
تحذير
إذا قمت مؤخرًا بتوصيل محفظة تشفير بأي موقع يدعي تقديم إنزالات جوية لرموز CLAW، فقم بإلغاء جميع موافقات المحفظة فورًا. تعامل مع أي قضية GitHub من حساب غير معروف يروج لتوزيعات الرموز على أنها مشبوهة.
توصي المنصة بحظر token-claw[.]xyz و watery-compost[.]today عبر جميع البيئات، وتجنب توصيل المحافظ بأي مواقع جديدة أو غير موثوقة، بغض النظر عن مدى شرعيتها.
ماذا سيحدث لمجتمع OpenClaw
انتقل OpenClaw إلى مشروع مفتوح المصدر تديره مؤسسة، مما يعني أن قاعدة المساهمين فيه ستنمو فقط. المزيد من النجوم، والمزيد من المطورين، والمزيد من مساحة السطح لهذا النوع من الهندسة الاجتماعية المستهدفة. مناقشة Hacker News حول هذه الحملة سلطت الضوء على العديد من العلامات الحمراء التي برزت للقراء المهتمين بالأمن، بما في ذلك السرعة المشبوهة لإنشاء الحسابات وحذفها.
تم الاتصال بـ بيتر شتاينبرغر للتعليق. في الوقت الحالي، أفضل دفاع هو الشك: لن يقوم أي مشروع شرعي بإعلامك بتخصيص رمز من خلال قضية GitHub من حساب لم تره من قبل. تأكد من الاطلاع على المزيد:
