นักพัฒนา OpenClaw ตกเป็นเป้าหมายของกลโกงฟิชชิงบน GitHub

"ขอขอบคุณสำหรับการสนับสนุนบน GitHub เราได้วิเคราะห์โปรไฟล์และเลือกนักพัฒนาเพื่อรับสิทธิ์ OpenClaw" นี่คือข้อความที่นักพัฒนาหลายร้อยคนได้รับจากบัญชี GitHub ปลอม และมันคือเหยื่อลอก

แพลตฟอร์มความปลอดภัย OX Security ได้เผยแพร่รายงานโดยละเอียดเกี่ยวกับแคมเปญฟิชชิงที่กำลังดำเนินการซึ่งมุ่งเป้าไปที่ผู้ร่วมพัฒนาโครงการ OpenClaw โดยเฉพาะ การตั้งค่านี้ถูกคำนวณมาอย่างดี: ผู้โจมตีสร้างบัญชี GitHub ที่ใช้แล้วทิ้ง เปิดกระทู้ปัญหาในคลังเก็บที่ผู้โจมตีควบคุม และแท็กนักพัฒนาที่กดถูกใจ (star) คลังเก็บที่เกี่ยวข้องกับ OpenClaw ข้อความอ้างว่าพวกเขาได้รับรางวัล $CLAW tokens มูลค่า $5,000 และชี้ไปยังเว็บไซต์ที่ดูเหมือน openclaw.ai เกือบจะเหมือนกันทุกประการ พร้อมด้วยปุ่ม "Connect your wallet" ที่เพิ่งเพิ่มเข้ามา

How the Attack Unfolded

เว็บไซต์ปลอม token-claw[.]xyz เป็นสำเนาที่สมบูรณ์แบบของหน้าแรก OpenClaw จริง โดยมีการเพิ่มส่วนสำคัญคือการแจ้งให้เชื่อมต่อกระเป๋าเงิน เมื่อนักพัฒนาเชื่อมต่อกระเป๋าเงินของตน โค้ดที่เป็นอันตรายจะเริ่มทำงาน

การวิเคราะห์ของ OX Security ซึ่งมีรายละเอียดในการวิเคราะห์ฉบับเต็ม พบว่าตรรกะการดูดเงินจากกระเป๋าเงินถูกซ่อนอยู่ในไฟล์ JavaScript ที่ถูกทำให้สับสนอย่างมากชื่อ "eleven.js" หลังจากถอดรหัสแล้ว นักวิจัยพบ "nuke" function ในตัวที่ลบข้อมูลการขโมยกระเป๋าเงินทั้งหมดออกจากที่เก็บข้อมูลภายในเครื่องของเบราว์เซอร์ทันทีที่เสร็จสิ้น เพื่อขัดขวางการสืบสวน

มัลแวร์ติดตามการโต้ตอบของผู้เสียหายผ่านคำสั่งต่างๆ รวมถึง PromptTx, Approved และ Declined จากนั้นจึงส่งข้อมูลที่เข้ารหัสกลับไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) เพย์โหลดที่เข้ารหัสนี้รวมถึงที่อยู่กระเป๋าเงิน จำนวนธุรกรรม และชื่อบัญชี

นักวิจัยระบุที่อยู่กระเป๋าเงินคริปโตหนึ่งแห่งที่เชื่อว่าเป็นของผู้โจมตี: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5 ณ เวลาที่รายงาน ยังไม่มีการส่งหรือรับเงินใดๆ

Why OpenClaw Was the Target

ประเด็นคือ OpenClaw ไม่ได้ตกเป็นเป้าหมายของนักต้มตุ๋นโดยบังเอิญ เฟรมเวิร์ก AI agent แบบโฮสต์เองได้ระเบิดความนิยมหลังจาก Sam Altman CEO ของ OpenAI ประกาศว่า Peter Steinberger ผู้สร้าง OpenClaw จะเป็นผู้นำการผลักดันของบริษัทไปสู่ AI agent ส่วนบุคคล โครงการนี้ได้รับ 323,000 GitHub stars หลังจากการเข้าซื้อกิจการโดย OpenAI ทำให้ฐานผู้ร่วมพัฒนาเป็นหนึ่งในชุมชนนักพัฒนาที่ได้รับการยอมรับมากที่สุดในวงการ AI ในขณะนี้

โปรไฟล์ดังกล่าวคือสิ่งที่ทำให้มันน่าสนใจสำหรับผู้ไม่หวังดี OX Security ตั้งข้อสังเกตว่าผู้โจมตีดูเหมือนจะใช้ฟีเจอร์ star ของ GitHub เพื่อระบุและกำหนดเป้าหมายผู้ใช้ที่กดถูกใจคลังเก็บของ OpenClaw ทำให้ข้อความ airdrop ปลอมดูเฉพาะเจาะจงและน่าเชื่อถืออย่างน่าขนลุก

นี่ไม่ใช่ครั้งแรกที่ OpenClaw ต้องเผชิญกับการฉวยโอกาสจากคริปโต Steinberger เคยบอกกับ Decrypt ว่าสแปมคริปโตกำลังท่วม Discord ของ OpenClaw เกือบจะ "ทุกครึ่งชั่วโมง" ซึ่งท้ายที่สุดก็นำไปสู่การแบนการสนทนาเกี่ยวกับเหรียญทั้งหมด

The Fake Accounts Vanished Fast

บัญชี GitHub ที่ฉ้อโกงถูกสร้างขึ้นเมื่อสัปดาห์ที่แล้วและถูกลบภายในไม่กี่ชั่วโมงหลังจากเปิดตัวแคมเปญ ตามข้อมูลของ OX Security ยังไม่มีรายงานผู้เสียหายที่ได้รับการยืนยันจนถึงขณะนี้

Moshe Siman Tov Bustan หัวหน้าทีมวิจัยของ OX Security ตั้งข้อสังเกตว่าแคมเปญนี้มีความคล้ายคลึงกับการโจมตีครั้งก่อนที่แพร่กระจายบน GitHub โดยมุ่งเป้าไปที่ผู้ใช้ Solana แม้ว่าการวิเคราะห์ความสัมพันธ์ที่แน่นอนระหว่างสองแคมเปญนี้ยังคงดำเนินอยู่

แพลตฟอร์มแนะนำให้บล็อก token-claw[.]xyz และ watery-compost[.]today ในทุกสภาพแวดล้อม และหลีกเลี่ยงการเชื่อมต่อกระเป๋าเงินกับเว็บไซต์ที่เพิ่งปรากฏขึ้นใหม่หรือไม่ได้รับการยืนยันใดๆ โดยไม่คำนึงว่ามันดูถูกกฎหมายเพียงใด

What Comes Next for OpenClaw's Community

OpenClaw ได้เปลี่ยนไปสู่โครงการโอเพนซอร์สที่บริหารงานโดยมูลนิธิ ซึ่งหมายความว่าฐานผู้ร่วมพัฒนาจะเติบโตขึ้นเท่านั้น ดาวที่มากขึ้น นักพัฒนามากขึ้น พื้นที่ผิวที่มากขึ้นสำหรับการวิศวกรรมสังคมแบบกำหนดเป้าหมายประเภทนี้ การสนทนาบน Hacker News เกี่ยวกับแคมเปญนี้ ได้ชี้ให้เห็นถึงสัญญาณเตือนหลายประการที่ผู้อ่านที่ใส่ใจเรื่องความปลอดภัยสังเกตเห็น รวมถึงความเร็วที่น่าสงสัยในการสร้างและลบบัญชี

ได้ติดต่อ Peter Steinberger เพื่อขอความคิดเห็นแล้ว สำหรับตอนนี้ การป้องกันที่ดีที่สุดคือความสงสัย: ไม่มีโครงการที่ถูกกฎหมายใดที่จะแจ้งให้คุณทราบเกี่ยวกับการจัดสรรโทเค็นผ่านปัญหา GitHub จากบัญชีที่คุณไม่เคยเห็นมาก่อน ตรวจสอบให้แน่ใจว่าได้ดูเพิ่มเติม:

เกม

คู่มือ

รีวิว

ข่าวสาร