"GitHub'daki katkılarınız için teşekkürler. Profilleri analiz ettik ve OpenClaw allocation alacak geliştiricileri seçtik." Bu, yüzlerce geliştiricinin sahte GitHub hesaplarından aldığı ve tamamen bir oltalama (phishing) tuzağı olan mesaj.
Güvenlik platformu OX Security, özellikle OpenClaw projesine katkıda bulunanları hedef alan aktif bir oltalama kampanyasını detaylandıran bir rapor yayınladı. Kurgu oldukça hesaplı: Saldırganlar geçici GitHub hesapları oluşturuyor, kendi kontrollerindeki repolarda issue başlıkları açıyor ve OpenClaw ile ilgili repoları yıldızlayan (star) geliştiricileri etiketliyor. Mesajda, 5.000 $ değerinde $CLAW token kazandıkları iddia ediliyor ve onları openclaw.ai ile neredeyse aynı görünen, yeni eklenmiş bir "Connect your wallet" butonu içeren bir siteye yönlendiriyorlar.

Ön sipariş ile 1 aylık GTA+ aboneliği kazanın.
GTA 6 İçin Hemen Pre-Order GTA 6 Now
Saldırı Nasıl Gerçekleşti?
Sahte site olan token-claw[.]xyz, gerçek OpenClaw ana sayfasının neredeyse kusursuz bir kopyası; tek bir kritik ekleme ile: bir wallet connection uyarısı. Bir geliştirici cüzdanını bağladığı anda, kötü amaçlı kod çalışmaya başlıyor.
OX Security'nin tam dökümünde detaylandırılan analizi, cüzdan boşaltma mantığının "eleven.js" adlı, oldukça karmaşık hale getirilmiş (obfuscated) bir JavaScript dosyasının içine gizlendiğini ortaya çıkardı. Araştırmacılar, kodu çözdükten sonra, adli incelemeleri zorlaştırmak amacıyla işlem bittiğinde tarayıcının yerel depolama alanındaki tüm cüzdan çalma verilerini silen yerleşik bir "nuke" fonksiyonu keşfettiler.
Zararlı yazılım, kurbanın etkileşimlerini PromptTx, Approved ve Declined gibi komutlar aracılığıyla takip ediyor ve ardından kodlanmış verileri bir komuta kontrol (C2) sunucusuna iletiyor. Bu kodlanmış payload; cüzdan adreslerini, işlem değerlerini ve hesap isimlerini içeriyor.
Araştırmacılar, tehdit aktörüne ait olduğuna inanılan bir kripto cüzdan adresi tespit etti: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5. Raporlama sırasında, bu adresten henüz herhangi bir fon gönderilmediği veya alınmadığı görüldü.
Neden OpenClaw Hedef Alındı?
OpenClaw, dolandırıcıların radarına tesadüfen girmedi. Kendi kendine barınan (self-hosted) AI agent framework'ü, OpenAI CEO'su Sam Altman'ın, OpenClaw yaratıcısı Peter Steinberger'in şirketin kişisel AI agent'ları konusundaki hamlesine liderlik edeceğini duyurmasının ardından büyük bir görünürlük kazandı. Proje, OpenAI tarafından satın alınmasının ardından 323.000 GitHub yıldızına ulaştı ve katkıda bulunan kitlesini şu anda AI alanındaki en tanınmış geliştirici topluluklarından biri haline getirdi.
Tam da bu profil, projeyi kötü niyetli kişiler için çekici kılıyor. Saldırganlar, OpenClaw repolarını yıldızlayan kullanıcıları belirleyip hedef almak için GitHub'ın yıldız özelliğini kullanmış gibi görünüyor; bu da sahte airdrop mesajının son derece spesifik ve inandırıcı görünmesini sağlıyor.
Bu, OpenClaw'un kripto fırsatçılığı ile ilk karşılaşması da değil. Steinberger daha önce Decrypt'e verdiği demeçte, kripto spam'lerinin OpenClaw'un Discord'unu neredeyse "her yarım saatte bir" istila ettiğini ve sonunda coin ile ilgili tüm tartışmaların yasaklanmasına zorlandıklarını belirtmişti.
Sahte Hesaplar Hızla Kayboldu
Dolandırıcılık amaçlı GitHub hesapları daha geçen hafta oluşturuldu ve kampanya başladıktan saatler sonra silindi. Şu ana kadar doğrulanmış bir kurban rapor edilmedi.
Araştırma ekibi lideri Moshe Siman Tov Bustan, kampanyanın daha önce GitHub'da Solana kullanıcılarını hedef alan bir saldırıyla benzerlik gösterdiğini, ancak iki kampanya arasındaki ilişkinin tam analizinin devam ettiğini belirtti.
Güvenlik uzmanları, token-claw[.]xyz ve watery-compost[.]today adreslerinin tüm ortamlarda engellenmesini ve ne kadar meşru görünürse görünsün, yeni ortaya çıkan veya doğrulanmamış hiçbir siteye cüzdan bağlanmamasını tavsiye ediyor.
OpenClaw Topluluğunu Sırada Ne Bekliyor?
OpenClaw, vakıf tarafından yönetilen bir açık kaynak projesine dönüştü, bu da katkıda bulunan kitlesinin sadece büyüyeceği anlamına geliyor. Daha fazla yıldız, daha fazla geliştirici ve tam da bu tür hedefli sosyal mühendislik saldırıları için daha geniş bir saldırı yüzeyi demek. Bu kampanya hakkındaki Hacker News tartışması, güvenlik odaklı okuyucuların dikkatini çeken, hesap oluşturma ve silme hızındaki şüpheli durumlar dahil olmak üzere birçok kırmızı bayrağa işaret etti.
Peter Steinberger'e yorum için ulaşıldı. Şimdilik en iyi savunma şüphecilik: hiçbir meşru proje, daha önce hiç görmediğiniz bir hesaptan gelen GitHub issue bildirimi ile size token allocation duyurusu yapmaz. Daha fazlasına göz atmayı unutmayın:








