安全研究人员发现了一场针对开发者的活跃钓鱼攻击,利用OpenClaw项目日益增长的受欢迎程度,攻击者通过伪造GitHub活动诱导受害者连接他们的加密钱包。
根据OX Security发布的报告,威胁行为者正在创建虚假GitHub账户,并在攻击者控制的仓库中开设问题线程。这些帖子会标记数十位开发者,以最大化曝光率和互动,从而增加成功攻击的可能性。
钓鱼信息声称,目标用户已被选中,作为对其GitHub贡献的奖励,将获得价值5000美元的CLAW代币。
受害者随后会被引导到一个恶意网站,该网站与官方OpenClaw平台高度相似。假冒网站包括“连接你的钱包”功能,旨在启动未授权访问并窃取用户的加密钱包资金。
研究人员指出,攻击者利用社会工程学策略增强可信度。在一条观察到的消息中,威胁行为者写道:“感谢你在GitHub上的贡献,我们分析了你的资料,选择开发者获得OpenClaw分配”,试图营造排他性和合法性的感觉。
据报道,该活动通过GitHub的问题追踪系统传播,攻击者可能通过分析标星了与OpenClaw相关仓库的用户来识别目标。这种有针对性的方法增加了受害者相信信息的可能性。
钓鱼网站支持多种流行钱包,包括MetaMask、Trust Wallet和OKX Wallet,使攻击者能够在加密生态系统中广泛撒网。
安全专家已敦促开发者和加密用户在与未经请求的GitHub信息互动时保持警惕,特别是那些宣传代币赠送或空投的消息。
用户被建议避免将钱包连接到未验证的网站,屏蔽恶意域名,并检查近期钱包权限是否存在可疑活动。
此次事件凸显了开源开发平台与加密相关威胁之间日益交织的趋势,攻击者不断利用受信任的生态系统执行复杂的钓鱼攻击。
你的Web3身份+服务+支付,一站式链接。立即获取你的pay3.so链接。
