"ขอขอบคุณสำหรับการมีส่วนร่วมบน GitHub เราได้วิเคราะห์โปรไฟล์และคัดเลือกนักพัฒนาเพื่อรับการจัดสรร OpenClaw" นี่คือข้อความที่นักพัฒนานับร้อยคนได้รับจากบัญชี GitHub ปลอม ซึ่งเป็นเพียงเหยื่อล่อเท่านั้น
แพลตฟอร์มความปลอดภัย OX Security ได้เผยแพร่รายงานที่ระบุรายละเอียดเกี่ยวกับแคมเปญ Phishing ที่กำลังดำเนินอยู่ โดยพุ่งเป้าไปที่ผู้มีส่วนร่วมในโปรเจกต์ OpenClaw โดยเฉพาะ การวางแผนนี้ถูกคำนวณมาเป็นอย่างดี: ผู้โจมตีสร้างบัญชี GitHub แบบใช้แล้วทิ้ง เปิดกระทู้ Issue ใน Repository ที่ตนเองควบคุม และแท็กนักพัฒนาที่เคยกด Star ให้กับ Repo ที่เกี่ยวข้องกับ OpenClaw ข้อความอ้างว่าพวกเขาได้รับรางวัลเป็น $CLAW tokens มูลค่า $5,000 และนำทางไปยังเว็บไซต์ที่ดูแทบจะเหมือนกับ openclaw.ai ทุกประการ พร้อมด้วยปุ่ม "Connect your wallet" ที่เพิ่งถูกเพิ่มเข้ามาใหม่

รับสิทธิ์สมาชิก GTA+ ฟรี 1 เดือนเมื่อสั่งซื้อล่วงหน้า
สั่งซื้อล่วงหน้า GTA 6 ได้แล้ววันนี้
การโจมตีเกิดขึ้นได้อย่างไร
เว็บไซต์ปลอม token-claw[.]xyz เป็นการโคลนหน้าโฮมเพจจริงของ OpenClaw ได้อย่างแนบเนียน โดยมีการเพิ่มสิ่งที่สำคัญอย่างหนึ่งเข้ามาคือ: การแจ้งเตือนให้เชื่อมต่อกระเป๋าเงิน (Wallet) ทันทีที่นักพัฒนาเชื่อมต่อกระเป๋าเงินของตน โค้ดอันตรายก็จะเริ่มทำงาน
การวิเคราะห์ของ OX Security ซึ่งมีรายละเอียดอยู่ในรายงานฉบับเต็ม พบว่าตรรกะในการดูดเงินจากกระเป๋าเงินถูกฝังอยู่ในไฟล์ JavaScript ที่ถูกทำให้ซับซ้อน (Obfuscated) อย่างหนักชื่อว่า "eleven.js" หลังจากถอดรหัสแล้ว นักวิจัยพบ "nuke" function ที่ติดตั้งมาในตัว ซึ่งจะล้างข้อมูลการขโมยข้อมูลจากกระเป๋าเงินทั้งหมดออกจาก Local Storage ของเบราว์เซอร์ทันทีที่ทำงานเสร็จ เพื่อขัดขวางการสืบสวนทางนิติวิทยาศาสตร์
มัลแวร์จะติดตามการโต้ตอบของเหยื่อผ่านคำสั่งต่างๆ รวมถึง PromptTx, Approved และ Declined จากนั้นจะส่งข้อมูลที่เข้ารหัสกลับไปยังเซิร์ฟเวอร์ Command-and-Control (C2) โดย Payload ที่เข้ารหัสนั้นประกอบไปด้วยที่อยู่กระเป๋าเงิน, มูลค่าธุรกรรม และชื่อบัญชี
นักวิจัยระบุที่อยู่กระเป๋าเงินคริปโตหนึ่งรายการที่เชื่อว่าเป็นของผู้โจมตี: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5 ณ เวลาที่รายงาน ข้อมูลระบุว่ายังไม่มีการส่งหรือรับเงินใดๆ
ทำไม OpenClaw ถึงตกเป็นเป้าหมาย
OpenClaw ไม่ได้ตกเป็นเป้าหมายของมิจฉาชีพโดยบังเอิญ เฟรมเวิร์ก AI Agent แบบ Self-hosted นี้ได้รับความนิยมพุ่งสูงขึ้นหลังจากที่ Sam Altman ซีอีโอของ OpenAI ประกาศว่า Peter Steinberger ผู้สร้าง OpenClaw จะเข้ามานำทีมผลักดันด้าน Personal AI Agents ของบริษัท โปรเจกต์นี้มียอด 323,000 GitHub stars หลังจากถูก OpenAI เข้าซื้อกิจการ ทำให้ฐานผู้มีส่วนร่วมกลายเป็นหนึ่งในชุมชนนักพัฒนาที่เป็นที่รู้จักมากที่สุดในแวดวง AI ในขณะนี้
โปรไฟล์ดังกล่าวคือสิ่งที่ดึงดูดเหล่าผู้ไม่หวังดี ดูเหมือนว่าผู้โจมตีจะใช้ฟีเจอร์ Star ของ GitHub เพื่อระบุและกำหนดเป้าหมายผู้ใช้ที่เคยกด Star ให้กับ Repository ของ OpenClaw ทำให้ข้อความ Airdrop ปลอมดูมีความเฉพาะเจาะจงและน่าเชื่อถืออย่างน่าประหลาด
นี่ไม่ใช่ครั้งแรกที่ OpenClaw เผชิญกับฉวยโอกาสจากคริปโต Steinberger เคยกล่าวกับ Decrypt ว่าสแปมคริปโตหลั่งไหลเข้ามาใน Discord ของ OpenClaw แทบจะ "ทุกครึ่งชั่วโมง" จนในที่สุดต้องสั่งแบนการสนทนาที่เกี่ยวข้องกับเหรียญทั้งหมด
บัญชีปลอมหายไปอย่างรวดเร็ว
บัญชี GitHub ปลอมถูกสร้างขึ้นเมื่อสัปดาห์ที่แล้วและถูกลบภายในไม่กี่ชั่วโมงหลังจากเริ่มแคมเปญ จนถึงขณะนี้ยังไม่มีรายงานผู้เสียหายที่ได้รับการยืนยัน
Moshe Siman Tov Bustan หัวหน้าทีมวิจัยตั้งข้อสังเกตว่าแคมเปญนี้มีความคล้ายคลึงกับการโจมตีก่อนหน้านี้ที่แพร่กระจายบน GitHub โดยพุ่งเป้าไปที่ผู้ใช้ Solana แม้ว่าการวิเคราะห์ความเชื่อมโยงที่แน่ชัดระหว่างสองแคมเปญนี้จะยังคงดำเนินอยู่ก็ตาม
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้บล็อก token-claw[.]xyz และ watery-compost[.]today ในทุกสภาพแวดล้อม และหลีกเลี่ยงการเชื่อมต่อกระเป๋าเงินกับเว็บไซต์ที่เพิ่งเกิดขึ้นใหม่หรือเว็บไซต์ที่ไม่ได้รับการยืนยัน ไม่ว่าเว็บไซต์เหล่านั้นจะดูน่าเชื่อถือเพียงใดก็ตาม
ก้าวต่อไปของชุมชน OpenClaw
OpenClaw ได้เปลี่ยนผ่านไปสู่โปรเจกต์ Open-source ที่บริหารโดยมูลนิธิ ซึ่งหมายความว่าฐานผู้มีส่วนร่วมจะเติบโตขึ้นเรื่อยๆ ยิ่งมี Star มากขึ้น มีนักพัฒนามากขึ้น ก็ยิ่งเป็นพื้นที่เป้าหมายสำหรับการทำ Social Engineering ในลักษณะนี้มากขึ้น การอภิปรายบน Hacker News เกี่ยวกับแคมเปญนี้ ได้ชี้ให้เห็นถึงสัญญาณอันตรายหลายประการที่เตะตาผู้อ่านที่ใส่ใจด้านความปลอดภัย รวมถึงความเร็วที่น่าสงสัยในการสร้างและลบบัญชี
มีการติดต่อไปยัง Peter Steinberger เพื่อขอความคิดเห็นแล้ว สำหรับตอนนี้ การป้องกันที่ดีที่สุดคือความไม่ประมาท: ไม่มีโปรเจกต์ที่ถูกกฎหมายใดจะแจ้งเตือนคุณเรื่องการจัดสรรเหรียญผ่าน GitHub Issue จากบัญชีที่คุณไม่เคยเห็นมาก่อน ตรวจสอบข้อมูลเพิ่มเติมได้ที่:








