Мошенники воспользовались ростом популярности проекта OpenClaw и развернули фишинговую кампанию на GitHub. Разработчиков заманивают обещаниями грантов в токенах $CLAW, а в итоге опустошают их криптокошельки.
Всё началось после смены управления OpenClaw и перехода проекта к модели фонда с открытым исходным кодом — интерес к нему резко вырос, и злоумышленники быстро этим воспользовались. Согласно отчёту OX Security, атакующие встроились в активность сообщества и превратили доверие разработчиков в точку входа.
Схема выглядит как обычная маркетинговая акция. Мошенники создают фейковые аккаунты на GitHub, публикуют обсуждения и массово отмечают разработчиков в комментариях. В одном из зафиксированных случаев пользователям сообщали о якобы полученном гранте — около 5000 долларов в токенах $CLAW — и предлагали перейти по ссылке на сайт, который визуально копирует настоящий openclaw.ai.
Жертв выбирают не наугад. OX Security сообщает, что атакующие анализируют активность на платформе и целятся в тех, кто ставил «звёздочки» репозиториям, связанным с OpenClaw. Персонализированное сообщение от якобы знакомого проекта вызывает куда больше доверия, чем случайная рассылка.
Дальше запускается основной механизм. Пользователь переходит на поддельный сайт, ему предлагают подключить криптокошелёк — и в этот момент активируется вредоносный код. После подключения человек фактически сам отдаёт контроль над своими средствами.
Исследователи выяснили, что страницы содержат замаскированный JavaScript со скрытыми функциями кражи. Центральный элемент схемы — файл eleven.js, который и выполняет все вредоносные операции. После завершения атаки программа очищает локальное хранилище браузера, чтобы замести следы и затруднить анализ.
Помимо кражи средств, код следит за каждым действием пользователя в реальном времени — фиксирует события через команды вроде PromptTx, Approved и Declined. Адреса кошельков и суммы транзакций в зашифрованном виде уходят на удалённый сервер злоумышленников.
OX Security уже отследила как минимум один кошелёк, на который стекаются похищенные средства. Точное число пострадавших пока не установлено, но структура кампании говорит о том, что она активно развивается и постоянно ищет новые цели. Классическая схема с «бонусами» просто получила новую упаковку — под open source, GitHub и доверие сообщества разработчиков.