Tóm tắt ngắn gọn
- Kẻ tấn công sử dụng tài khoản GitHub giả để gắn thẻ các nhà phát triển, tuyên bố họ đã thắng 5.000 đô la trong token $CLAW và hướng họ đến một trang OpenClaw sao chép.
- OX Security cho biết trang lừa đảo sử dụng JavaScript bị mã hóa nặng và một máy chủ C2 riêng để rút tiền khỏi các ví liên kết và che giấu hoạt động.
- Các tài khoản này được tạo ra vào tuần trước và bị xóa trong vòng vài giờ sau khi ra mắt, chưa có nạn nhân nào được xác nhận cho đến nay.
Sự nổi bật của OpenClaw đã thu hút một tác dụng phụ xấu: các lừa đảo tiền điện tử hiện đang sử dụng tên dự án AI agent này để nhắm vào các nhà phát triển trong một chiến dịch lừa đảo nhằm rút sạch ví của họ.
Nền tảng an ninh OX Security đã công bố một báo cáo vào thứ Tư chi tiết về một chiến dịch lừa đảo đang hoạt động nhắm vào OpenClaw, trong đó các mối đe dọa tạo các tài khoản GitHub giả, mở các chủ đề vấn đề trong các kho lưu trữ do kẻ tấn công kiểm soát và gắn thẻ hàng chục nhà phát triển.
Chiến dịch lừa đảo này tuyên bố người nhận đã thắng 5.000 đô la token $CLAW và hướng họ đến một trang gần như giống hệt openclaw.ai, với một điểm khác biệt: nút “Kết nối ví của bạn” được thiết kế để khởi động việc trộm ví, theo báo cáo.
Chiến dịch lừa đảo này xuất hiện vài tuần sau khi CEO của OpenAI, Sam Altman, công bố rằng người sáng lập OpenClaw, Peter Steinberger, sẽ dẫn dắt dự án AI cá nhân của họ, với OpenClaw chuyển sang dự án mã nguồn mở do quỹ thành lập điều hành.
Hình ảnh chính thống này và mối liên hệ của framework với một trong những tên tuổi nổi bật nhất trong lĩnh vực AI khiến cộng đồng nhà phát triển của nó trở thành mục tiêu ngày càng hấp dẫn.
Các mối đe dọa đăng các vấn đề trên GitHub nói với các nhà phát triển: “Cảm ơn bạn đã đóng góp trên GitHub. Chúng tôi đã phân tích hồ sơ và chọn các nhà phát triển để phân bổ OpenClaw.” Sau đó, chúng hướng nạn nhân đến một trang giả hỗ trợ nhiều ví tiền điện tử lớn.
OX Security đánh giá rằng kẻ tấn công có thể đang sử dụng tính năng sao của GitHub để xác định người dùng đã sao các kho lưu trữ liên quan đến OpenClaw, làm cho lời mời gọi trở nên có vẻ mục tiêu hơn và đáng tin cậy hơn.
Phân tích của nền tảng cho thấy mã trộm ví nằm trong một tệp JavaScript bị mã hóa nặng gọi là “eleven.js.”
Sau khi giải mã malware, các nhà nghiên cứu phát hiện ra một chức năng “nuke” tích hợp, có khả năng xóa tất cả dữ liệu trộm ví khỏi bộ nhớ cục bộ của trình duyệt để làm khó phân tích pháp y.
Malware theo dõi hành động của người dùng qua các lệnh như PromptTx, Approved, và Declined, truyền dữ liệu mã hóa, bao gồm địa chỉ ví, giá trị giao dịch và tên, trở lại máy chủ C2.
Các nhà nghiên cứu đã xác định một địa chỉ ví tiền điện tử mà họ tin là của kẻ tấn công, 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5, dùng để nhận tiền bị đánh cắp.
Các tài khoản này được tạo ra vào tuần trước và bị xóa trong vòng vài giờ sau khi ra mắt, chưa có nạn nhân nào được xác nhận cho đến nay, theo OX Security.
Decrypt đã liên hệ với Peter Steinberger và OX Security để lấy ý kiến.
Vấn đề nam châm tiền điện tử của OpenClaw
OpenClaw, một framework AI agent tự lưu trữ cho phép người dùng chạy các bot liên tục kết nối với các ứng dụng nhắn tin, email, lịch và lệnh shell, đã đạt 323.000 sao trên GitHub sau khi được OpenAI mua lại vào tháng trước.
Sự nổi bật đó nhanh chóng thu hút các tác nhân xấu, với nhà sáng lập OpenClaw, Peter Steinberger, nói rằng spam crypto tràn ngập Discord của OpenClaw gần như “mỗi nửa giờ,” buộc phải cấm và cuối cùng là cấm hoàn toàn sau khi ông mô tả với Decrypt là “quảng cáo coin không ngừng.”
Khác với các công cụ AI dựa trên chat, các agent của OpenClaw tồn tại, thức dậy theo lịch trình, lưu trữ bộ nhớ cục bộ và thực hiện các nhiệm vụ đa bước một cách tự động.
OX Security khuyến nghị chặn token-claw[.]xyz và watery-compost[.]today trên tất cả các môi trường, tránh kết nối ví tiền điện tử với các trang mới xuất hiện hoặc chưa xác minh, và xem bất kỳ vấn đề GitHub nào quảng bá tặng token hoặc airdrop là đáng ngờ, đặc biệt từ các tài khoản không rõ danh tính.
Người dùng đã kết nối ví gần đây nên thu hồi quyền phê duyệt ngay lập tức, nền tảng cảnh báo.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
