GitHubのフィッシャーが偽のOpenClawトークンを使用して暗号ウォレットを枯渇させる

脅威アクターは積極的にOpenClawの急速な人気を悪用して、GitHubの開発者を無料の暗号トークンの誘いで狙うフィッシングキャンペーンを実行しています。

OX Securityの開示によると、このキャンペーンには数千ドルの報酬を約束する偽の「CLAW」トークンエアドロップが含まれています。開発者は悪意のあるGitHubリポジトリとディスカッションに騙され、最終的には暗号ウォレットの接続を促すほぼ完全にクローンされたウェブサイトにリダイレクトされます。

「脅威アクターは攻撃者が管理するリポジトリで問題を開き、GitHubユーザーにタグを付けて可視性とリーチを最大化します」とOXの研究者はブログ投稿で述べています。「リンクされたサイトはopenclaw.aiほぼ同じクローンですが、1つの重要な違いがあります。それはウォレット盗難を開始するように設計された「ウォレットを接続」ボタンを追加しています。」

研究者は、脅威アクターがキャンペーン用に複数のアカウントを作成し、キャンペーン開始から数時間後にそれらをすべて削除したと述べています。分析によると、まだキャンペーンの影響を受けたユーザーはいないとのことです。

GitHubは配信に使用される

このキャンペーンはGitHubワークフロー内にフィッシングを移動させており、これは非常に一般的ではないことです。攻撃者はリポジトリを作成または乗っ取り、それらに魅力的なコンテンツを入れ、開発者にタグを付けたりディスカッションに参加して可視性を高めることでリーチを増幅させました。

このキャンペーンは社会工学的な層を使用し、正当性のある問題、プルリクエスト、リポジトリメンションを含めて疑いを回避します。開発者は信頼できる環境内で広がるおとりをクリックする可能性が高いため、GitHubはおそらく開発者の信頼を悪用するために選ばれました。

スマート、難読化されたマルウェアコード

OXによると、悪意のあるフィッシングとウォレット盗難コードは「高度に難読化された」ものであり、リポジトリ内の「eleven.js」JavaScriptファイル内に存在します。

脅威アクターは「watery-compost[.]today」を使用してC2サーバーをホストし、情報（ウォレットアドレス、トランザクション値、名前を含む）を収集し、ウォレットが接続されたときに枯渇させます。C2が使用するコマンドには、PromtTx、Approved、Declinedが含まれます。さらに、マルウェアコードには、検出とフォレンジクスを回避するためにブラウザのローカルストレージからウォレット盗難情報を削除する「nuke」機能が含まれています。研究者が追加しました。

アドレス「0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5」がコードから抽出され、盗まれた暗号通貨を受け取るために脅威アクターが使用したウォレットとして識別されました。フィッシングページ（「token-claw[.]xyz」）は、WalletConnect、MetaMask、Trust Wallet、OKX Wallet、Bybit Walletを含む複数の暗号ウォレットをサポートしていると言われています。

OX研究者は、すべての環境からフィッシングドメインをブロックし、信頼されていないウェブサイトに暗号ウォレットを接続するのを控え、未知のソースからのトークン配布問題を疑わしいものとして扱うことを推奨しています。ユーザーは、キャンペーンに関連する最近のウォレット接続を確認し、保護された状態を保つためにすべての承認をすぐに取り消す必要があります。