"Kami menghargai kontribusi Anda di GitHub. Kami telah menganalisis profil dan memilih pengembang untuk mendapatkan alokasi OpenClaw." Itulah pesan yang diterima ratusan pengembang dari akun GitHub palsu, dan itu adalah jebakan.
Platform keamanan OX Security menerbitkan laporan yang merinci kampanye phishing aktif yang secara khusus menargetkan kontributor proyek OpenClaw. Skenarionya sudah diperhitungkan: pelaku membuat akun GitHub sekali pakai, membuka utas issue di repositori yang dikendalikan penyerang, dan menandai (tag) pengembang yang telah memberikan bintang (star) pada repositori terkait OpenClaw. Pesan tersebut mengklaim bahwa mereka telah memenangkan $CLAW tokens senilai $5,000 dan mengarahkan mereka ke situs yang terlihat hampir identik dengan openclaw.ai, lengkap dengan tombol "Connect your wallet" yang baru ditambahkan.

Dapatkan langganan GTA+ 1 bulan dengan melakukan pre-order.
Pre-Order GTA 6 Sekarang
Bagaimana Serangan Terjadi
Situs palsu, token-claw[.]xyz, adalah tiruan yang hampir sempurna dari beranda asli OpenClaw, dengan satu tambahan krusial: perintah koneksi dompet (wallet). Begitu pengembang menghubungkan dompet mereka, kode berbahaya tersebut mulai bekerja.
Analisis OX Security, yang dirinci dalam pemaparan lengkap mereka, menemukan logika penguras dompet (wallet-draining) yang terkubur di dalam file JavaScript yang sangat disamarkan bernama "eleven.js." Setelah melakukan deobfuscation, peneliti menemukan "nuke" function bawaan yang menghapus semua data pencurian dompet dari penyimpanan lokal browser setelah selesai, khususnya untuk menghambat investigasi forensik.
Malware tersebut melacak interaksi korban melalui perintah termasuk PromptTx, Approved, dan Declined, kemudian mengirimkan data terenkripsi kembali ke server command-and-control (C2). Payload terenkripsi tersebut mencakup alamat dompet, nilai transaksi, dan nama akun.
Peneliti mengidentifikasi satu alamat dompet kripto yang diyakini milik pelaku ancaman: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5. Pada saat pelaporan, alamat tersebut belum mengirim atau menerima dana apa pun.
Mengapa OpenClaw Menjadi Target
OpenClaw tidak menjadi sasaran penipu secara kebetulan. Framework agen AI yang di-host secara mandiri ini meledak popularitasnya setelah CEO OpenAI Sam Altman mengumumkan bahwa kreator OpenClaw, Peter Steinberger, akan memimpin upaya perusahaan dalam pengembangan agen AI pribadi. Proyek ini mencapai 323,000 GitHub stars setelah diakuisisi oleh OpenAI, menjadikan basis kontributornya salah satu komunitas pengembang yang paling dikenal di ruang AI saat ini.
Profil itulah yang membuatnya menarik bagi aktor jahat. Penyerang tampaknya menggunakan fitur star di GitHub untuk mengidentifikasi dan menargetkan pengguna yang memberikan bintang pada repositori OpenClaw, membuat pesan airdrop palsu tersebut terasa sangat spesifik dan kredibel.
Ini juga bukan pertama kalinya OpenClaw berurusan dengan oportunisme kripto. Steinberger sebelumnya mengatakan kepada Decrypt bahwa spam kripto membanjiri Discord OpenClaw hampir "setiap setengah jam," yang akhirnya memaksa pelarangan total terhadap semua diskusi terkait koin.
Akun Palsu Menghilang dengan Cepat
Akun GitHub penipuan tersebut dibuat baru minggu lalu dan dihapus dalam beberapa jam setelah meluncurkan kampanye. Sejauh ini belum ada laporan mengenai korban yang terkonfirmasi.
Ketua tim peneliti Moshe Siman Tov Bustan mencatat bahwa kampanye ini memiliki kemiripan dengan serangan sebelumnya yang menyebar di GitHub yang menargetkan pengguna Solana, meskipun analisis mengenai hubungan pasti antara kedua kampanye tersebut masih berlangsung.
Pakar keamanan menyarankan untuk memblokir token-claw[.]xyz dan watery-compost[.]today di semua lingkungan, dan menghindari menghubungkan dompet ke situs baru atau situs yang belum terverifikasi, terlepas dari seberapa sah tampilannya.
Apa Langkah Selanjutnya bagi Komunitas OpenClaw
OpenClaw telah beralih menjadi proyek open-source yang dijalankan oleh yayasan, yang berarti basis kontributornya akan terus berkembang. Lebih banyak bintang, lebih banyak pengembang, lebih banyak celah untuk jenis rekayasa sosial yang ditargetkan seperti ini. Diskusi Hacker News mengenai kampanye ini menandai beberapa tanda bahaya yang menonjol bagi pembaca yang sadar akan keamanan, termasuk kecepatan pembuatan dan penghapusan akun yang mencurigakan.
Peter Steinberger telah dihubungi untuk dimintai komentar. Untuk saat ini, pertahanan terbaik adalah skeptisisme: tidak ada proyek sah yang akan memberi tahu Anda tentang alokasi token melalui issue GitHub dari akun yang belum pernah Anda lihat sebelumnya. Pastikan untuk melihat lebih banyak:








