Хакеры регистрируют поддельные профили разработчиков на платформе GitHub и создают «проблемы» (issue threads) в подконтрольных репозиториях — инструменте для обсуждения багов, предложений и вопросов по проекту.
Затем злоумышленники отмечают десятки разработчиков, заявляя, что те якобы получили 5000 токенов CLAW. Пользователям отправляют ссылку на поддельный сайт, визуально схожий с официальным ресурсом OpenClaw. Ключевой элемент — кнопка «Connect your wallet» («Подключить кошелек»), которая инициирует процесс кражи средств.
В ходе расследования специалисты OX Security обнаружили вредоносный код, скрытый в зашифрованном JavaScript-файле eleven.js. Вредоносное ПО также содержит функцию удаления следов активности из локального хранилища браузера, что затрудняет анализ инцидента. В результате атаки злоумышленники получают зашифрованные данные, включая адреса кошельков и параметры транзакций.
Создатель OpenClaw Питер Штайнбергер (Peter Steinberger) заявил, что проект не выпускал собственных токенов. Любые сообщения о криптоактивах, связанных с OpenClaw, являются мошенническими.
OX Security рекомендует пользователям заблокировать домены token-claw.xyz и watery-compost.today. Сообщения о раздаче токенов на GitHub следует рассматривать как потенциально вредоносные.
Фишинговая кампания развивается на фоне роста популярности OpenClaw. Проект получил более 324 000 звезд на GitHub и вошел в число наиболее популярных репозиториев.
По данным аналитической платформы Artemis, число публикаций нового кода в блокчейн-проектах с начала прошлого года сократилось примерно на 75% — с 850 000 до 210 000 в неделю. Количество активных разработчиков снизилось на 56% — до около 4600 человек. При этом разработчики активнее переключаются на сферу искусственного интеллекта: число наборов для разработки на базе больших языковых моделей на GitHub выросло на 178% за год.
