Singkatnya
- Penyerang menggunakan akun GitHub palsu untuk menandai pengembang, mengklaim mereka telah memenangkan $5.000 dalam token $CLAW dan mengarahkan mereka ke situs OpenClaw yang dikloning.
- OX Security mengatakan halaman phishing menggunakan JavaScript yang sangat disamarkan dan server C2 terpisah untuk menguras dompet yang terhubung dan menyembunyikan aktivitas.
- Akun-akun tersebut dibuat minggu lalu dan dihapus dalam beberapa jam setelah peluncuran, dengan belum ada korban yang dikonfirmasi sejauh ini.
Kenaikan viral OpenClaw telah menarik efek samping yang tidak diinginkan: penipu kripto kini menggunakan nama proyek agen AI tersebut untuk menargetkan pengembang dalam kampanye phishing yang bertujuan menguras dompet mereka.
Platform keamanan OX Security merilis laporan pada hari Rabu yang merinci kampanye phishing aktif yang menargetkan OpenClaw di mana pelaku ancaman membuat akun GitHub palsu, membuka thread isu di repositori yang dikendalikan penyerang, dan menandai puluhan pengembang.
Penipuan ini mengklaim penerima telah memenangkan token $CLAW senilai $5.000 dan mengarahkan mereka ke situs yang hampir identik dengan openclaw.ai, dengan satu tambahan: tombol “Hubungkan dompet Anda” yang dirancang untuk memulai pencurian dompet, menurut laporan tersebut.
Kampanye phishing ini muncul beberapa minggu setelah CEO OpenAI, Sam Altman, mengumumkan bahwa pencipta OpenClaw, Peter Steinberger, akan memimpin dorongan perusahaan ke agen AI pribadi, dengan OpenClaw beralih menjadi proyek open-source yang dikelola yayasan.
Profil utama tersebut dan kaitannya dengan salah satu nama paling terkenal di bidang AI membuat komunitas pengembangnya semakin menarik sebagai target.
Pelaku ancaman memposting isu di GitHub yang mengatakan, “Hargai kontribusi Anda di GitHub. Kami menganalisis profil dan memilih pengembang untuk mendapatkan alokasi OpenClaw.” Kemudian mereka mengarahkan korban ke situs palsu yang mendukung beberapa dompet kripto utama.
OX Security menilai bahwa penyerang mungkin menggunakan fitur bintang GitHub untuk mengidentifikasi pengguna yang memberi bintang pada repositori terkait OpenClaw, sehingga daya tariknya tampak lebih tertarget dan kredibel.
Analisis platform menemukan kode pencuri dompet yang tersembunyi di dalam file JavaScript yang sangat disamarkan bernama “eleven.js.”
Setelah menghilangkan obfuscation malware tersebut, para peneliti mengidentifikasi fungsi “nuke” bawaan yang menghapus semua data pencurian dompet dari penyimpanan lokal browser untuk menghambat analisis forensik.
Malware ini melacak tindakan pengguna melalui perintah seperti PromptTx, Approved, dan Declined, mengirimkan data terenkripsi, termasuk alamat dompet, nilai transaksi, dan nama, kembali ke server C2.
Para peneliti mengidentifikasi satu alamat dompet kripto yang mereka yakini milik pelaku ancaman, 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5, yang digunakan untuk menerima dana yang dicuri.
Akun-akun tersebut dibuat minggu lalu dan dihapus dalam beberapa jam setelah peluncuran, dengan belum ada korban yang dikonfirmasi sejauh ini, menurut OX Security.
Decrypt telah menghubungi Peter Steinberger dan OX Security untuk mendapatkan komentar.
Masalah magnet kripto OpenClaw
OpenClaw, kerangka agen AI yang dihosting sendiri yang memungkinkan pengguna menjalankan bot permanen yang terhubung ke aplikasi pesan, email, kalender, dan perintah shell, mendapatkan 323.000 bintang di GitHub setelah diakuisisi oleh OpenAI bulan lalu.
Visibilitas tersebut dengan cepat menarik pelaku jahat, dengan pencipta OpenClaw, Peter Steinberger, mengatakan bahwa spam kripto membanjiri Discord OpenClaw hampir “setiap setengah jam,” memaksa penutupan dan akhirnya larangan total setelah apa yang dia sebut sebagai “promosi koin tanpa henti.”
Berbeda dengan alat AI berbasis chat, agen OpenClaw bersifat permanen, bangun sesuai jadwal, menyimpan memori secara lokal, dan menjalankan tugas multi-langkah secara otomatis.
OX Security menyarankan untuk memblokir token-claw[.]xyz dan watery-compost[.]today di semua lingkungan, menghindari menghubungkan dompet kripto ke situs yang baru muncul atau tidak diverifikasi, dan memperlakukan setiap isu GitHub yang mempromosikan giveaway token atau airdrop sebagai mencurigakan, terutama dari akun yang tidak dikenal.
Pengguna yang baru saja menghubungkan dompet harus segera mencabut izin, peringatan platform.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
