Разработчиков OpenClaw атакуют через фишинг на GitHub: обещают «награду» в CLAW на $5000

Компания по кибербезопасности OX Security сообщила, что на GitHub распространяется фишинговая кампания, нацеленная на разработчиков OpenClaw. Злоумышленники с помощью поддельных аккаунтов GitHub выдают себя за участников проекта, отмечают целевых разработчиков в Issue или в комментариях через @, а затем используют приманку в виде «награды токенами CLAW на сумму 5000 долларов США», чтобы направить жертву на поддельный сайт и побудить к дальнейшим действиям.

Ключевая цель кампании — провести кражу средств из криптокошелька (wallet drainer): если жертва подключит кошелёк на недоверенном сайте или подпишет запрос на транзакцию, активы могут быть быстро выведены. По открытым данным, OpenClaw ранее подчёркивал антикриптовалютную политику и уже сталкивался с мошенничеством с подменой личности, связанным с «фальшивыми токенами». Сейчас атакующие используют популярность проекта и доверие разработчиков к сообщениям на платформе для совместной работы, чтобы проводить социальную инженерию.

Краткий комментарий: по мере роста популярности open-source проектов и экосистемы AI-агентов ожидается увеличение атак социальной инженерии вокруг цепочки взаимодействий на GitHub. Разработчикам стоит придерживаться принципа нулевого доверия к сообщениям про «аирдроп/токенные награды», не подключать кошелёк и не подписывать запросы до проверки домена и личности, а также оперативно блокировать подозрительные аккаунты и домены.