"Kami menghargai kontribusi Anda di GitHub. Kami menganalisis profil dan memilih pengembang untuk mendapatkan alokasi OpenClaw." Itulah pesan yang diterima ratusan pengembang dari akun GitHub palsu, dan itu adalah umpan.
Platform keamanan OX Security menerbitkan laporan yang merinci kampanye phishing aktif yang secara khusus menargetkan kontributor proyek OpenClaw. Pengaturannya diperhitungkan: penyerang membuat akun GitHub sekali pakai, membuka utas masalah di repositori yang dikendalikan penyerang, dan menandai pengembang yang telah menandai repositori terkait OpenClaw. Pesan tersebut mengklaim mereka telah memenangkan token $CLAW senilai $5.000 dan mengarahkan mereka ke situs yang terlihat hampir identik dengan openclaw.ai, lengkap dengan tombol "Hubungkan dompet Anda" yang baru ditambahkan.
Bagaimana Serangan Itu Terjadi
Situs palsu, token-claw[.]xyz, adalah klon yang hampir sempurna dari beranda OpenClaw yang asli, dengan satu tambahan penting: permintaan koneksi dompet. Setelah pengembang menghubungkan dompet mereka, kode berbahaya mulai bekerja.
Analisis OX Security, dirinci dalam analisis lengkap mereka, menemukan logika penguras dompet tersembunyi di dalam file JavaScript yang sangat diobfuskasi bernama "eleven.js." Setelah diobfuskasi, peneliti menemukan fungsi "nuke" bawaan yang menghapus semua data pencurian dompet dari penyimpanan lokal peramban setelah selesai, khususnya untuk menggagalkan investigasi forensik.
Malware melacak interaksi korban melalui perintah termasuk PromptTx, Approved, dan Declined, kemudian mengirimkan data yang dikodekan kembali ke server komando dan kontrol (C2). Payload yang dikodekan tersebut mencakup alamat dompet, nilai transaksi, dan nama akun.
Peneliti mengidentifikasi satu alamat dompet kripto yang diyakini milik pelaku ancaman: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5. Pada saat pelaporan, alamat tersebut belum mengirim atau menerima dana apa pun.
Mengapa OpenClaw Menjadi Target
Begini masalahnya: OpenClaw tidak berakhir di mata pisau penipu secara kebetulan. Kerangka kerja agen AI yang di-host sendiri meledak dalam visibilitas setelah CEO OpenAI Sam Altman mengumumkan bahwa pencipta OpenClaw Peter Steinberger akan memimpin dorongan perusahaan ke agen AI pribadi. Proyek ini mencapai 323.000 bintang GitHub setelah diakuisisi oleh OpenAI, menjadikan basis kontributornya salah satu komunitas pengembang yang paling dikenal di ruang AI saat ini.
Profil tersebut persis seperti yang membuatnya menarik bagi aktor jahat. OX Security mencatat bahwa penyerang tampaknya telah menggunakan fitur bintang GitHub untuk mengidentifikasi dan menargetkan pengguna yang menandai repositori OpenClaw, membuat pesan airdrop palsu terasa sangat spesifik dan kredibel.
Ini juga bukan pertama kalinya OpenClaw berurusan dengan oportunisme kripto. Steinberger sebelumnya memberi tahu Decrypt bahwa spam kripto membanjiri Discord OpenClaw hampir "setiap setengah jam," yang akhirnya memaksa larangan menyeluruh pada semua diskusi terkait koin.
Akun Palsu Menghilang Cepat
Akun GitHub palsu dibuat minggu lalu dan dihapus dalam beberapa jam setelah meluncurkan kampanye. Menurut OX Security, belum ada korban yang dikonfirmasi dilaporkan sejauh ini.
Ketua tim riset OX SecurityMoshe Siman Tov Bustan mencatat bahwa kampanye tersebut memiliki kemiripan dengan serangan sebelumnya yang menyebar di GitHub yang menargetkan pengguna Solana, meskipun analisis hubungan pasti antara kedua kampanye masih berlangsung.
peringatan
Jika Anda baru saja menghubungkan dompet kripto ke situs mana pun yang mengklaim menawarkan airdrop token CLAW, segera cabut semua persetujuan dompet. Perlakukan masalah GitHub apa pun dari akun yang tidak dikenal yang mempromosikan hadiah token sebagai sesuatu yang mencurigakan.
Platform merekomendasikan untuk memblokir token-claw[.]xyz dan watery-compost[.]today di semua lingkungan, dan menghindari menghubungkan dompet ke situs apa pun yang baru muncul atau belum diverifikasi, terlepas dari seberapa sah kelihatannya.
Apa Selanjutnya untuk Komunitas OpenClaw
OpenClaw telah bertransisi menjadi proyek sumber terbuka yang dikelola yayasan, yang berarti basis kontributornya hanya akan bertambah. Lebih banyak bintang, lebih banyak pengembang, lebih banyak area permukaan untuk rekayasa sosial yang ditargetkan seperti ini. Diskusi Hacker News tentang kampanye ini menandai beberapa tanda bahaya yang menonjol bagi pembaca yang berpikiran keamanan, termasuk kecepatan pembuatan dan penghapusan akun yang mencurigakan.
Peter Steinberger telah dihubungi untuk dimintai komentar. Untuk saat ini, pertahanan terbaik adalah skeptisisme: tidak ada proyek yang sah yang akan memberi tahu Anda tentang alokasi token melalui masalah GitHub dari akun yang belum pernah Anda lihat sebelumnya. Pastikan untuk memeriksa lebih lanjut:
