"Appreciate your contributions on GitHub. We analyzed profiles and chose developers to get OpenClaw allocation." यह वह मैसेज है जो सैकड़ों डेवलपर्स को फेक GitHub अकाउंट्स से मिल रहा है, और यह पूरी तरह से एक bait है।
सिक्योरिटी प्लेटफॉर्म OX Security ने एक रिपोर्ट पब्लिश की है जिसमें एक एक्टिव फिशिंग कैंपेन की डिटेल दी गई है, जो खास तौर पर OpenClaw प्रोजेक्ट के कंट्रीब्यूटर्स को टारगेट कर रहा है। यह पूरा सेटअप काफी सोच-समझकर किया गया है: अटैकर्स फेक GitHub अकाउंट्स बनाते हैं, अटैकर-कंट्रोल्ड रिपॉजिटरीज में इश्यू थ्रेड्स खोलते हैं, और उन डेवलपर्स को टैग करते हैं जिन्होंने OpenClaw-related रिपोज़ को स्टार किया है। मैसेज में दावा किया जाता है कि उन्होंने $5,000 वर्थ के $CLAW tokens जीते हैं और उन्हें एक ऐसी साइट पर ले जाते हैं जो लगभग openclaw.ai जैसी दिखती है, जिसमें एक नया "Connect your wallet" बटन भी दिया गया है।

प्री-ऑर्डर के साथ 1-month GTA+ सब्सक्रिप्शन प्राप्त करें।
GTA 6 अभी प्री-ऑर्डर करें
How the Attack Unfolded
फेक साइट, token-claw[.]xyz, असली OpenClaw होमपेज का लगभग परफेक्ट क्लोन है, जिसमें एक क्रिटिकल एडिशन है: एक वॉलेट कनेक्शन प्रॉम्प्ट। जैसे ही कोई डेवलपर अपना वॉलेट कनेक्ट करता है, मैलिशियस कोड अपना काम शुरू कर देता है।
OX Security का एनालिसिस, जो उनकी फुल ब्रेकडाउन में डिटेल्ड है, में पाया गया कि वॉलेट-ड्रेनिंग लॉजिक एक हेवीली ऑबफस्केटेड (obfuscated) JavaScript फाइल में छिपा हुआ था जिसका नाम "eleven.js" है। इसे डी-ऑबफस्केट करने के बाद, रिसर्चर्स ने एक इन-बिल्ट "nuke" function खोजा जो काम पूरा होने के बाद ब्राउज़र के लोकल स्टोरेज से सारा वॉलेट-स्टीलिंग डेटा डिलीट कर देता है, ताकि फॉरेंसिक इन्वेस्टिगेशन को मुश्किल बनाया जा सके।
यह मैलवेयर PromptTx, Approved, और Declined जैसे कमांड्स के जरिए विक्टिम के इंटरेक्शन को ट्रैक करता है, और फिर एन्कोडेड डेटा को कमांड-एंड-कंट्रोल (C2) सर्वर पर भेज देता है। उस एन्कोडेड पेलोड में वॉलेट एड्रेस, ट्रांजेक्शन वैल्यू और अकाउंट नेम्स शामिल होते हैं।
रिसर्चर्स ने एक क्रिप्टो वॉलेट एड्रेस की पहचान की है जिसके बारे में माना जा रहा है कि वह थ्रेट एक्टर का है: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5। रिपोर्टिंग के समय तक, इसने कोई फंड न तो भेजा था और न ही रिसीव किया था।
Why OpenClaw Was the Target
OpenClaw स्कैमर्स के निशाने पर अचानक नहीं आया। यह सेल्फ-होस्टेड AI एजेंट फ्रेमवर्क तब काफी पॉपुलर हो गया जब OpenAI CEO Sam Altman ने अनाउंस किया कि OpenClaw के क्रिएटर Peter Steinberger कंपनी के पर्सनल AI एजेंट्स के पुश को लीड करेंगे। OpenAI द्वारा एक्विजिशन के बाद इस प्रोजेक्ट को 323,000 GitHub stars मिले, जिससे इसका कंट्रीब्यूटर बेस अभी AI स्पेस में सबसे पहचाने जाने वाले डेवलपर कम्युनिटीज में से एक बन गया है।
यही प्रोफाइल इसे बैड एक्टर्स के लिए अट्रैक्टिव बनाता है। ऐसा लगता है कि अटैकर्स ने GitHub के स्टार फीचर का इस्तेमाल उन यूजर्स को आइडेंटिफाई और टारगेट करने के लिए किया है जिन्होंने OpenClaw रिपॉजिटरीज को स्टार किया था, जिससे फेक एयरड्रॉप मैसेज काफी स्पेसिफिक और क्रेडिबल लगता है।
यह OpenClaw का क्रिप्टो अवसरवाद (opportunism) के साथ पहला सामना नहीं है। Steinberger ने पहले Decrypt को बताया था कि क्रिप्टो स्पैम OpenClaw के Discord पर लगभग "हर आधे घंटे" में आ रहा था, जिसके कारण अंततः सभी कॉइन-रिलेटेड डिस्कशन पर बैन लगाना पड़ा।
The Fake Accounts Vanished Fast
फ्रॉडुलेंट GitHub अकाउंट्स पिछले हफ्ते ही बनाए गए थे और कैंपेन लॉन्च करने के कुछ घंटों के भीतर ही डिलीट कर दिए गए। अभी तक किसी भी विक्टिम के होने की पुष्टि नहीं हुई है।
रिसर्च टीम लीड Moshe Siman Tov Bustan ने नोट किया कि यह कैंपेन पिछले एक अटैक से मिलता-जुलता है जो GitHub पर Solana यूजर्स को टारगेट कर रहा था, हालांकि दोनों कैंपेन्स के बीच सटीक संबंध का एनालिसिस अभी भी जारी है।
सिक्योरिटी एक्सपर्ट्स सभी एनवायरनमेंट में token-claw[.]xyz और watery-compost[.]today को ब्लॉक करने की सलाह देते हैं, और किसी भी नई या अनवेरिफाइड साइट पर वॉलेट कनेक्ट करने से बचने को कहते हैं, चाहे वे कितनी भी लेजिटिमेट क्यों न दिखें।
What Comes Next for OpenClaw's Community
OpenClaw अब एक फाउंडेशन-रन ओपन-सोर्स प्रोजेक्ट में बदल गया है, जिसका मतलब है कि इसका कंट्रीब्यूटर बेस और बढ़ेगा। ज्यादा स्टार्स, ज्यादा डेवलपर्स, और इस तरह के टारगेटेड सोशल इंजीनियरिंग के लिए ज्यादा स्कोप। इस कैंपेन पर Hacker News discussion ने कई रेड फ्लैग्स की ओर इशारा किया जो सिक्योरिटी-माइंडेड रीडर्स के लिए साफ थे, जिसमें अकाउंट क्रिएशन और डिलीशन की सस्पिशियस स्पीड भी शामिल है।
Peter Steinberger से कमेंट के लिए संपर्क किया गया है। फिलहाल, सबसे अच्छा बचाव है संदेह करना: कोई भी लेजिटिमेट प्रोजेक्ट आपको कभी भी किसी ऐसे अकाउंट से GitHub इश्यू के जरिए टोकन एलोकेशन की सूचना नहीं देगा जिसे आपने पहले कभी नहीं देखा है। और अधिक जानकारी के लिए देखें:








