"GitHub'daki katkılarınız için minnettarız. Profilinizi analiz ettik ve OpenClaw dağıtımı için geliştiriciler seçtik." Bu, yüzlerce geliştiricinin sahte GitHub hesaplarından aldığı ve yem olan mesajdır.
Güvenlik platformu OX Security, özellikle OpenClaw projesinin katkıda bulunanlarını hedef alan aktif bir kimlik avı kampanyasını detaylandıran bir rapor yayınladı. Kurulum hesaplı: saldırganlar geçici GitHub hesapları oluşturur, saldırgan kontrolündeki depolarda konu başlıkları açar ve OpenClaw ile ilgili depolara yıldız veren geliştiricileri etiketler. Mesajda, 5.000 $ değerinde $CLAW token kazandıkları iddia ediliyor ve onları neredeyse openclaw.ai ile aynı görünen, yeni eklenmiş bir "Cüzdanınızı Bağlayın" düğmesiyle birlikte bir siteye yönlendiriyor.
Saldırı Nasıl Gerçekleşti
token-claw[.]xyz adresindeki sahte site, gerçek OpenClaw ana sayfasının neredeyse kusursuz bir kopyasıdır, ancak kritik bir eklemeyle: bir cüzdan bağlantı istemi. Bir geliştirici cüzdanını bağladığında, kötü amaçlı kod çalışmaya başlar.
OX Security'nin tam dökümünde detaylandırılan analizi, cüzdanı boşaltan mantığın "eleven.js" adlı yoğun bir şekilde gizlenmiş bir JavaScript dosyasının içinde gömülü olduğunu ortaya çıkardı. Gizliliğini kaldırdıktan sonra araştırmacılar, işi bittiğinde cüzdan çalma verilerini tarayıcının yerel depolamasından temizleyen, özellikle adli soruşturmayı engellemek için tasarlanmış yerleşik bir "nuke" işlevi keşfettiler.
Kötü amaçlı yazılım, PromptTx, Approved ve Declined gibi komutlar aracılığıyla kurban etkileşimlerini izler ve ardından kodlanmış verileri bir komuta ve kontrol (C2) sunucusuna iletir. Bu kodlanmış yük, cüzdan adreslerini, işlem değerlerini ve hesap adlarını içerir.
Araştırmacılar, tehdit aktörüne ait olduğuna inanılan bir kripto cüzdan adresi belirlediler: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5. Raporlandığı sırada henüz herhangi bir fon göndermemiş veya almamıştı.
Neden OpenClaw Hedef Seçildi
İşte durum şu: OpenClaw, dolandırıcıların hedefi haline gelmiş tesadüfen değil. Kendi kendine barındırılan yapay zeka ajanı çerçevesi, OpenAI CEO'su Sam Altman, OpenClaw yaratıcısı Peter Steinberger'in şirketin kişisel yapay zeka ajanları alanındaki ilerlemesine liderlik edeceğini duyurduktan sonra büyük bir görünürlük kazandı. Proje, OpenAI tarafından satın alınmasının ardından 323.000 GitHub yıldızına ulaştı ve bu da onun katkıda bulunan kitlesini şu anda yapay zeka alanındaki en tanınmış geliştirici topluluklarından biri haline getirdi.
Tam olarak bu profil, kötü niyetli aktörler için çekici kılıyor. OX Security, saldırganların OpenClaw depolarına yıldız veren kullanıcıları belirlemek ve hedeflemek için GitHub'ın yıldız özelliğini kullandığına dikkat çekti, bu da sahte airdrop mesajını ürkütücü derecede spesifik ve güvenilir hissettiriyor.
Ayrıca bu, OpenClaw'ın kripto fırsatçılığıyla ilk karşılaşması değil. Steinberger daha önce Decrypt'e, OpenClaw'ın Discord'una neredeyse "her yarım saatte bir" kripto spam'inin aktığını ve sonunda tüm coin ile ilgili tartışmaların tamamen yasaklanmasına yol açtığını söylemişti.
Sahte Hesaplar Hızla Kayboldu
Sahte GitHub hesapları geçen hafta oluşturuldu ve kampanya başlatıldıktan sonra saatler içinde silindi. OX Security'ye göre, şu ana kadar doğrulanmış herhangi bir kurban bildirilmedi.
OX Security araştırma ekibi lideri Moshe Siman Tov Bustan, kampanyanın GitHub'da Solana kullanıcılarını hedef alan önceki bir saldırıya benzediğini belirtti, ancak iki kampanya arasındaki kesin ilişki analizi hala devam ediyor.
uyarı
Yakın zamanda CLAW token airdrop'ları sunduğunu iddia eden herhangi bir siteye bir kripto cüzdanı bağladıysanız, tüm cüzdan onaylarını derhal geri alın. Token çekilişlerini tanıtan bilinmeyen bir hesaptan gelen herhangi bir GitHub konusunu şüpheli olarak ele alın.
Platform, tüm ortamlarda token-claw[.]xyz ve watery-compost[.]today adreslerini engellemeyi ve ne kadar meşru görünürlerse görünsünler, yeni ortaya çıkan veya doğrulanmamış sitelere cüzdan bağlamaktan kaçınmayı öneriyor.
OpenClaw Topluluğu İçin Sonra Ne Olacak
OpenClaw, bir vakıf tarafından yönetilen açık kaynaklı bir projeye geçti, bu da katkıda bulunan kitlesinin yalnızca büyüyeceği anlamına geliyor. Daha fazla yıldız, daha fazla geliştirici, tam da bu tür hedefli sosyal mühendislik için daha fazla yüzey alanı. Bu kampanyaya ilişkin Hacker News tartışması, güvenlik odaklı okuyucuların dikkatini çeken hesap oluşturma ve silme hızı gibi birkaç kırmızı bayrak işaret etti.
Peter Steinberger yorum için temasa geçildi. Şimdilik en iyi savunma şüphecilik: Hiçbir meşru proje, daha önce hiç görmediğiniz bir hesaptan gelen bir GitHub konusu aracılığıyla size bir token dağıtımı bildirmeyecektir. Daha fazlasını kontrol ettiğinizden emin olun:
