"Appreciate your contributions on GitHub. We analyzed profiles and chose developers to get OpenClaw allocation." یہ وہ پیغام ہے جو سینکڑوں ڈویلپرز کو جعلی GitHub اکاؤنٹس کی جانب سے موصول ہو رہا ہے، اور یہ ایک فشنگ اسکیم (phishing scheme) ہے۔
سیکیورٹی پلیٹ فارم OX Security نے ایک رپورٹ شائع کی ہے جس میں ایک فعال فشنگ مہم کی تفصیلات دی گئی ہیں جو خاص طور پر OpenClaw پروجیکٹ کے کنٹریبیوٹرز کو نشانہ بنا رہی ہے۔ اس کا طریقہ کار سوچے سمجھے منصوبے کے تحت ہے: حملہ آور عارضی (throwaway) GitHub اکاؤنٹس بناتے ہیں، اپنے کنٹرول والے ریپوزٹریز (repositories) میں ایشو تھریڈز کھولتے ہیں، اور ان ڈویلپرز کو ٹیگ کرتے ہیں جنہوں نے OpenClaw سے متعلقہ ریپوز کو اسٹار (star) کیا ہوتا ہے۔ پیغام میں دعویٰ کیا جاتا ہے کہ انہوں نے $5,000 مالیت کے $CLAW tokens جیتے ہیں اور انہیں ایک ایسی سائٹ پر لے جایا جاتا ہے جو بالکل openclaw.ai جیسی دکھتی ہے، جس میں "Connect your wallet" کا بٹن بھی شامل ہوتا ہے۔

پری آرڈر کے ساتھ 1-month GTA+ سبسکرپشن حاصل کریں۔
GTA 6 کی پری آرڈر بکنگ ابھی کریں
حملہ کیسے ہوا
جعلی سائٹ، token-claw[.]xyz، اصل OpenClaw ہوم پیج کی ہو بہو نقل ہے، جس میں ایک اہم اضافہ ہے: والٹ کنکشن پرامپٹ۔ جیسے ہی کوئی ڈویلپر اپنا والٹ کنیکٹ کرتا ہے، میلشیس کوڈ (malicious code) اپنا کام شروع کر دیتا ہے۔
OX Security کا تجزیہ، جو ان کی مکمل رپورٹ میں تفصیلی موجود ہے، میں پایا گیا کہ والٹ خالی کرنے والا لاجک ایک انتہائی obfuscated جاوا اسکرپٹ فائل میں چھپا ہوا تھا جس کا نام "eleven.js" ہے۔ اسے ڈی-آبفسکیٹ (deobfuscate) کرنے کے بعد، محققین نے ایک بلٹ ان "nuke" فنکشن دریافت کیا جو کام مکمل ہونے کے بعد براؤزر کے لوکل اسٹوریج سے والٹ چرانے والا تمام ڈیٹا مٹا دیتا ہے، تاکہ فرانزک تحقیقات کو الجھایا جا سکے۔
میلویئر متاثرہ صارف کے تعاملات کو PromptTx، Approved، اور Declined جیسے کمانڈز کے ذریعے ٹریک کرتا ہے، اور پھر انکوڈ شدہ ڈیٹا کو کمانڈ اینڈ کنٹرول (C2) سرور پر بھیج دیتا ہے۔ اس انکوڈ شدہ پے لوڈ (payload) میں والٹ ایڈریسز، ٹرانزیکشن ویلیوز، اور اکاؤنٹ کے نام شامل ہوتے ہیں۔
محققین نے ایک کرپٹو والٹ ایڈریس کی نشاندہی کی ہے جس کے بارے میں خیال کیا جاتا ہے کہ وہ حملہ آور کا ہے: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5۔ رپورٹنگ کے وقت تک، اس سے کوئی فنڈز بھیجے یا موصول نہیں کیے گئے تھے۔
OpenClaw کو ہی کیوں نشانہ بنایا گیا؟
OpenClaw اتفاق سے اسکیمرز کے نشانے پر نہیں آیا۔ یہ سیلف ہوسٹڈ AI ایجنٹ فریم ورک اس وقت مقبولیت کی بلندیوں پر پہنچ گیا جب OpenAI کے CEO Sam Altman نے اعلان کیا کہ OpenClaw کے خالق Peter Steinberger کمپنی کے پرسنل AI ایجنٹس کے پروجیکٹ کی قیادت کریں گے۔ OpenAI کی جانب سے حصول کے بعد اس پروجیکٹ نے 323,000 GitHub stars حاصل کیے، جس سے اس کی کنٹریبیوٹر کمیونٹی AI اسپیس میں سب سے زیادہ پہچانے جانے والے ڈویلپر گروپس میں سے ایک بن گئی۔
یہی پروفائل اسے برے عناصر کے لیے پرکشش بناتا ہے۔ حملہ آوروں نے بظاہر GitHub کے اسٹار فیچر کا استعمال کرتے ہوئے ان صارفین کی شناخت کی جنہوں نے OpenClaw ریپوزٹریز کو اسٹار کیا تھا، جس سے جعلی ایئر ڈراپ (airdrop) کا پیغام انتہائی مخصوص اور قابل اعتبار محسوس ہوتا ہے۔
یہ OpenClaw کا کرپٹو موقع پرستی (opportunism) سے پہلا واسطہ نہیں ہے۔ Steinberger نے اس سے قبل Decrypt کو بتایا تھا کہ کرپٹو اسپام OpenClaw کے Discord پر تقریباً "ہر آدھے گھنٹے" میں آ رہا تھا، جس کی وجہ سے آخر کار تمام کوائن سے متعلقہ بحث پر پابندی عائد کرنی پڑی۔
جعلی اکاؤنٹس تیزی سے غائب ہو گئے
یہ دھوکہ دہی والے GitHub اکاؤنٹس صرف پچھلے ہفتے بنائے گئے تھے اور مہم شروع ہونے کے چند گھنٹوں کے اندر ہی ڈیلیٹ کر دیے گئے۔ اب تک کسی متاثرہ شخص کی تصدیق نہیں ہوئی ہے۔
ریسرچ ٹیم کے لیڈ Moshe Siman Tov Bustan نے نوٹ کیا کہ یہ مہم GitHub پر پھیلنے والے ایک پچھلے حملے سے مماثلت رکھتی ہے جو Solana صارفین کو نشانہ بناتا تھا، حالانکہ دونوں مہمات کے درمیان درست تعلق کا تجزیہ ابھی جاری ہے۔
سیکیورٹی ماہرین تمام ماحول میں token-claw[.]xyz اور watery-compost[.]today کو بلاک کرنے کا مشورہ دیتے ہیں، اور کسی بھی نئی یا غیر تصدیق شدہ سائٹ پر والٹ کنیکٹ کرنے سے گریز کرنے کا کہتے ہیں، چاہے وہ کتنی ہی جائز کیوں نہ لگے۔
OpenClaw کمیونٹی کے لیے آگے کیا ہے؟
OpenClaw اب ایک فاؤنڈیشن کے زیر انتظام اوپن سورس پروجیکٹ میں تبدیل ہو چکا ہے، جس کا مطلب ہے کہ اس کی کنٹریبیوٹر بیس میں مزید اضافہ ہوگا۔ مزید اسٹارز، مزید ڈویلپرز، اور اس طرح کی ٹارگٹڈ سوشل انجینئرنگ کے لیے مزید مواقع۔ اس مہم پر Hacker News کی بحث میں سیکیورٹی کے حوالے سے ہوشیار قارئین نے کئی سرخ جھنڈوں (red flags) کی نشاندہی کی، بشمول اکاؤنٹ بنانے اور ڈیلیٹ کرنے کی مشکوک رفتار۔
Peter Steinberger سے تبصرے کے لیے رابطہ کیا گیا ہے۔ فی الحال، بہترین دفاع شکوک و شبہات سے کام لینا ہے: کوئی بھی جائز پروجیکٹ آپ کو کبھی بھی کسی ایسے اکاؤنٹ سے GitHub ایشو کے ذریعے ٹوکن ایلوکیشن (allocation) کی اطلاع نہیں دے گا جسے آپ نے پہلے کبھی نہیں دیکھا۔ مزید جاننے کے لیے یہاں دیکھیں:








