"Waardeer je bijdragen op GitHub. We hebben profielen geanalyseerd en ontwikkelaars gekozen om OpenClaw-allocatie te krijgen." Dat is de boodschap die honderden ontwikkelaars hebben ontvangen van nep-GitHub-accounts, en het is lokvoer.
Het beveiligingsplatform OX Security publiceerde een rapport waarin een actieve phishingcampagne wordt beschreven die specifiek gericht is op bijdragers aan het OpenClaw-project. De opzet is berekend: aanvallers maken wegwerpbare GitHub-accounts, openen issue threads in door aanvallers gecontroleerde repositories en taggen ontwikkelaars die OpenClaw-gerelateerde repositories hebben gestard. Het bericht beweert dat ze $5.000 aan $CLAW tokens hebben gewonnen en verwijst hen naar een site die er vrijwel identiek uitziet als openclaw.ai, compleet met een nieuw toegevoegde "Connect your wallet"-knop.
Hoe de Aanval Ontvouwt
De nep-site, token-claw[.]xyz, is een bijna perfecte kloon van de echte OpenClaw-homepage, met één cruciale toevoeging: een prompt voor wallet-verbinding. Zodra een ontwikkelaar zijn wallet verbindt, gaat de kwaadaardige code aan het werk.
De analyse van OX Security, gedetailleerd in hun volledige uiteenzetting, ontdekte dat de logica voor het leegpompen van wallets verborgen zat in een zwaar geobfusceerd JavaScript-bestand genaamd "eleven.js." Na deobfuscatie ontdekten onderzoekers een ingebouwde "nuke" functie die alle wallet-stelende gegevens uit de lokale opslag van de browser wist zodra deze klaar is, specifiek om forensisch onderzoek te frustreren.
De malware volgt de interacties van slachtoffers via commando's zoals PromptTx, Approved en Declined, en stuurt vervolgens gecodeerde gegevens terug naar een command-and-control (C2) server. Die gecodeerde payload bevat wallet-adressen, transactiewaarden en accountnamen.
Onderzoekers identificeerden één crypto-walletadres dat vermoedelijk toebehoort aan de dreigingsactor: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5. Op het moment van melding had het nog geen fondsen verzonden of ontvangen.
Waarom OpenClaw het Doelwit Was
Het punt is: OpenClaw kwam niet per ongeluk in het vizier van oplichters. Het self-hosted AI-agentframework explodeerde in zichtbaarheid nadat OpenAI CEO Sam Altman aankondigde dat OpenClaw-maker Peter Steinberger het bedrijf zou leiden in de ontwikkeling van persoonlijke AI-agenten. Het project bereikte 323.000 GitHub-sterren na de overname door OpenAI, waardoor de contributor-basis een van de meest herkenbare ontwikkelaarsgemeenschappen in de AI-ruimte van dit moment is.
Dat profiel is precies wat het aantrekkelijk maakt voor kwaadwillenden. OX Security merkte op dat de aanvallers de ster-functie van GitHub lijken te hebben gebruikt om gebruikers te identificeren en te targeten die OpenClaw-repositories hebben gestard, waardoor het nep-airdropbericht griezelig specifiek en geloofwaardig aanvoelt.
Het is ook niet de eerste keer dat OpenClaw te maken krijgt met crypto-opportunisme. Steinberger vertelde Decrypt eerder dat crypto-spam bijna "elk half uur" de Discord van OpenClaw overspoelde, wat uiteindelijk dwong tot een algemeen verbod op alle muntgerelateerde discussies.
De Nep-accounts Verdwenen Snel
De frauduleuze GitHub-accounts werden vorige week aangemaakt en binnen enkele uren na de lancering van de campagne verwijderd. Volgens OX Security zijn er tot nu toe geen bevestigde slachtoffers gemeld.
Moshe Siman Tov Bustan, hoofd van het onderzoeksteam van OX Security, merkte op dat de campagne gelijkenissen vertoont met een eerdere aanval die zich verspreidde op GitHub en Solana-gebruikers targette, hoewel de analyse van de exacte relatie tussen de twee campagnes nog gaande is.
waarschuwing
Als je onlangs een crypto-wallet hebt verbonden met een site die beweert CLAW-token-airdrops aan te bieden, trek dan onmiddellijk alle wallet-goedkeuringen in. Behandel elk GitHub-issue van een onbekend account dat token-weggeefacties promoot als verdacht.
Het platform raadt aan om token-claw[.]xyz en watery-compost[.]today te blokkeren in alle omgevingen, en om te voorkomen dat wallets worden verbonden met nieuw opgedoken of niet-geverifieerde sites, ongeacht hoe legitiem ze lijken.
Wat Komt Er Hierna voor de Community van OpenClaw
OpenClaw is overgestapt naar een door een stichting gerund open-sourceproject, wat betekent dat de contributor-basis alleen maar zal groeien. Meer sterren, meer ontwikkelaars, meer aangrijpingspunten voor precies dit soort gerichte social engineering. De Hacker News discussie over deze campagne wees op verschillende rode vlaggen die opvielen bij beveiligingsbewuste lezers, waaronder de verdachte snelheid van accountcreatie en -verwijdering.
Peter Steinberger is gecontacteerd voor commentaar. Voorlopig is de beste verdediging scepsis: geen enkel legitiem project zal je ooit op de hoogte stellen van een token-allocatie via een GitHub-issue van een account dat je nog nooit eerder hebt gezien. Zorg ervoor dat je meer bekijkt:
