針對OpenClaw開發者的GitHub釣魚活動利用虛假空投竊取加密錢包資金

攻擊手法與流程

攻擊者創建虛假的GitHub帳號，在其控制的倉庫中發起議題並@數十名開發者，聲稱贏得5000美元CLAW代幣獎勵，並引導開發者前往與openclaw.ai幾乎完全相同的克隆網站。該網站多了一個「連接錢包」按鈕，旨在竊取用戶連接的錢包資產。

惡意代碼與後門功能

惡意代碼隱藏在經過深度混淆的JavaScript檔案中，包含一個稱為「nuke」的功能，可清除瀏覽器本地儲存資料以阻礙調查與取證分析。此外，該惡意代碼會將錢包地址、交易價值等資訊編碼後傳回命令與控制（C2）伺服器。

已識別的受影響資訊

研究人員已識別出一個疑似用於接收被竊資金的加密錢包地址。相關帳號於數日前創建，數小時內即被刪除，目前尚無確認受害者。

風險背景與先前事件

OpenClaw因高關注度成為詐騙分子的目標，其Discord社群先前也遭遇大量加密貨幣垃圾訊息。OpenClaw創始人此前已提醒用戶，需警惕以假冒OpenClaw名義發送的加密貨幣詐騙郵件。

相關技術與安全風險

• 「零點擊被黑（ClawJacked）」：只要後臺運行OpenClaw，前端不小心訪問帶毒網頁，黑客即可透過WebSocket盲區，毫秒級抽走用戶的錢包私鑰。
• 「廣灑網」：針對初學者的工業化洗劫，利用自動化釣魚平臺（Phishing-as-a-Service）、「貔貅盤」與虛假空投，透過規模效應在大量初級用戶中尋找防禦薄弱點。

相關資訊來自社群討論與安全報告，顯示此類釣魚活動已對OpenClaw生態系統構成實際威脅。

來源：https://www.panewslab.com/zh/articles/019d0487-d436-742c-8b50-fa8f9b30345b