นักต้มตุ๋นคริปโตกำลังใช้ประโยชน์จากความนิยมของ OpenClaw เพื่อเจาะเป้าหมายนักพัฒนาผ่านแคมเปญฟิชชิ่งบน GitHub รูปแบบใหม่ที่ออกแบบมาเพื่อดูดเงินจากคริปโตวอลเล็ตของพวกเขา

สรุป ผู้โจมตีปลอมตัวเป็น OpenClaw บน GitHub โดยสร้างบัญชีปลอมและแท็กนักพัฒนาด้วยข้อความเสนอ $5,000 ในโทเค็น $CLAW เหยื่อจะถูกส่งไปยังเว็บไซต์โคลน ซึ่งมีพร้อมท์การเชื่อมต่อวอลเล็ตที่เป็นอันตรายเพื่อเรียกใช้การดูดเงินออกจากวอลเล็ต OX Security ระบุว่าแคมเปญนี้ใช้โค้ดที่ซ่อนเร้นและกลยุทธ์ที่กำหนดเป้าหมาย แม้ว่าจะยังไม่มีรายงานเหยื่อที่ยืนยันได้

รายงานที่เผยแพร่โดยแพลตฟอร์ม OX Security ได้ให้รายละเอียดเกี่ยวกับแคมเปญฟิชชิ่งที่กำลังดำเนินการเพื่อโจมตี OpenClaw ผ่านความพยายามที่ประสานงานกันบน GitHub โดยผู้โจมตีสร้างบัญชีปลอม เปิดเธรดประเด็นปัญหาในที่เก็บที่ผู้โจมตีควบคุม และแท็กนักพัฒนาหลายสิบคน

โพสต์หนึ่งในลักษณะนี้อธิบายว่านักพัฒนาได้รับการติดต่อด้วยข้อความอ้างว่าพวกเขาได้รับเลือกสำหรับการจัดสรร OpenClaw โดยแจ้งให้พวกเขาทราบว่าพวกเขาได้รับรางวัลโทเค็น $CLAW มูลค่า $5,000 และจากนั้นจึงส่งพวกเขาไปยังเว็บไซต์ปลอมที่ดูคล้ายกับ openclaw.ai อย่างมาก

บนเว็บไซต์ เหยื่อจะได้รับตัวเลือกในการเชื่อมต่อวอลเล็ตของตนผ่านพร้อมท์ "Connect your wallet" ที่เป็นอันตราย ซึ่งท้ายที่สุดจะนำไปสู่การดูดเงินออกจากวอลเล็ต

คุณอาจสนใจ: ผู้ใช้ MetaMask ตกเป็นเป้าของการหลอกลวงฟิชชิ่ง 2FA ปลอมที่ขโมย seed phrases

แคมเปญนี้ปรากฏขึ้นเนื่องจาก OpenClaw ได้กลายเป็นโครงการที่มองเห็นได้ชัดเจนมากขึ้น โดยเฉพาะอย่างยิ่งหลังจากที่ Sam Altman ซีอีโอของ OpenAI ประกาศว่า Peter Steinberger ผู้สร้าง OpenClaw จะเป็นผู้นำในการผลักดันเข้าสู่เอเจนต์ AI ส่วนบุคคล OpenClaw ได้เปลี่ยนไปสู่โครงการโอเพนซอร์สที่บริหารงานโดยมูลนิธิแล้ว

นักวิจัยของ OX Security กล่าวว่าผู้โจมตีอาจใช้ฟีเจอร์ "star" ของ GitHub เพื่อระบุผู้ใช้ที่ "star" ที่เก็บที่เกี่ยวข้องกับ OpenClaw เพื่อทำให้ดูเหมือนเป็นการกำหนดเป้าหมายที่เฉพาะเจาะจงและน่าเชื่อถือยิ่งขึ้น

พบว่าผู้หลอกลวงใช้ไฟล์ชื่อ "eleven.js" เพื่อฝังโค้ดขโมยวอลเล็ตไว้ใน JavaScript ที่ซ่อนเร้น เมื่อถูกเรียกใช้งาน ผู้โจมตีจะใช้ฟังก์ชัน "nuke" ที่สร้างขึ้นมาเพื่อลบร่องรอยออกจากพื้นที่จัดเก็บข้อมูลเฉพาะที่ (local storage) ของเบราว์เซอร์เพื่อหลีกเลี่ยงการถูกตรวจจับและติดตามกิจกรรมต่อไป

มัลแวร์ติดตามการกระทำของผู้ใช้ผ่านคำสั่งต่างๆ เช่น PromptTx, Approved และ Declined โดยส่งข้อมูลที่เข้ารหัส รวมถึงที่อยู่ของวอลเล็ตและมูลค่าธุรกรรมไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ (command and control server)

นักวิจัยได้ระบุที่อยู่กระเป๋าเงินอย่างน้อยหนึ่งแห่งที่เชื่อว่าเชื่อมโยงกับผู้โจมตี ซึ่งถูกใช้เพื่อรับเงินที่ถูกขโมย จนถึงขณะนี้ยังไม่ได้รับการยืนยันว่ามีเหยื่อ

OX Security ได้กระตุ้นให้ผู้ใช้บล็อก token-claw[.]xyz และ watery-compost[.]today และหลีกเลี่ยงการเชื่อมต่อคริปโตวอลเล็ตกับเว็บไซต์ที่เพิ่งปรากฏขึ้นหรือเว็บไซต์ที่ไม่ได้รับการยืนยัน

แนวทางต่อต้านคริปโตของ OpenClaw

ในระหว่างนี้ Peter Steinberger ผู้สร้าง OpenClaw ได้บังคับใช้นโยบายต่อต้านคริปโตที่เข้มงวด การกล่าวถึงสกุลเงินดิจิทัลใดๆ ในเซิร์ฟเวอร์ Discord ของโครงการอาจนำไปสู่การถูกลบ

การตัดสินใจนี้มีที่มาจากการหลอกลวงที่เกิดขึ้นระหว่างการรีแบรนด์ โดยผู้โจมตีได้โปรโมตโทเค็นที่ใช้ Solana ชื่อ $CLAWD ซึ่งมีมูลค่าตลาดพุ่งสูงถึงประมาณ 16 ล้านดอลลาร์ ก่อนที่จะลดลงกว่า 90% หลังจาก Steinberger ปฏิเสธการมีส่วนเกี่ยวข้องใดๆ