Các nhà phát triển OpenClaw trên GitHub, một nền tảng hợp tác và kiểm soát phiên bản, đang trở thành mục tiêu của một chiến dịch lừa đảo bằng cách sử dụng các chương trình tặng Token giả mạo để dụ dỗ nạn nhân kết nối ví tiền điện tử, từ đó có thể bị rút hết tiền.
Theo một bài đăng trên blog của công ty an ninh mạng OX Security có trụ sở tại Tel Aviv hôm thứ Tư, những kẻ tấn công đã tạo ra các tài khoản GitHub giả mạo và gắn thẻ các nhà phát triển trong Threads thảo luận, tuyên bố rằng họ đã được chọn để nhận khoảng 5.000 đô la giá trị token CLAW.
Các bài đăng của kẻ tấn công LINK (Chainlink) đến một bản sao gần như giống hệt trang web OpenClaw, nhưng có thêm một điểm quan trọng: yêu cầu kết nối ví tiền điện tử. Sau khi ví được kết nối, mã độc có thể kích hoạt các giao dịch hoặc phê duyệt cho phép kẻ tấn công rút trộm tiền. Trang lừa đảo hỗ trợ các ví lớn bao gồm MetaMask, WalletConnect và Trust Wallet, làm tăng phạm vi ảnh hưởng tiềm tàng, theo OX cho biết.
Chiến dịch này nêu bật một phương thức tấn công ngày càng phổ biến trong lĩnh vực tiền điện tử: kỹ thuật xã hội kết hợp với yêu cầu kết nối ví, thường được ngụy trang dưới dạng airdrop hoặc phần thưởng cho nhà phát triển. Bằng cách nhắm mục tiêu vào người dùng GitHub đã tương tác với các kho lưu trữ liên quan đến OpenClaw, những kẻ tấn công đã khiến hoạt động tiếp cận trở nên đáng tin cậy hơn.
OpenClaw là một khung phần mềm và công cụ phát triển trí tuệ nhân tạo mã nguồn mở, gần đây đã thu hút sự chú ý và gây tranh cãi vì các vụ lừa đảo liên quan đến tiền điện tử lợi dụng tên gọi của nó.
Peter Steinberger, người sáng lập OpenClaw, tháng trước cho biết ông sắp xóa toàn bộ mã nguồn vì vấn đề mã hóa. "Tôi không ngờ rằng họ không chỉ giỏi quấy rối, mà còn rất giỏi sử dụng các tập lệnh và công cụ."
Tuyên bố của ông được đưa ra sau lệnh cấm toàn diện mà ông áp đặt đối với bất kỳ đề cập nào về tiền điện tử, bao gồm cả bitcoin BTC (70.426,40 USD) , trong kênh Discord của dự án sau khi những kẻ lừa đảo chiếm đoạt các tài khoản cũ của OpenClaw vào tháng Giêng. Các hacker đã quảng bá một Token CLAWD giả mạo, đạt mức vốn hóa thị trường 16 triệu USD trong thời gian ngắn trước khi sụp đổ sau khi Steinberger công khai phủ nhận mọi sự liên quan.
