3月20日,OX Security给大家提了个醒,目前正有一伙人在干坏事,他们盯上了开源项目OpenClaw,企图通过钓鱼诈骗来搞钱。根据OX的报告,这帮坏人跑到GitHub上搞起了团结合作,先弄了一大堆假账号,然后跑到别人管的代码仓库里开问题帖,疯狂标记开发者。一旦盯上谁,他们就会编造个离谱的理由,说开发者被选中能拿到OpenClaw的代币分配额度,甚至会恭喜对方赢了价值5000美元的CLAW代币。 为了让骗子的话更有说服力,这伙人很懂行。他们利用GitHub的"标星"功能去筛选那些给OpenClaw相关仓库点过赞的用户,这样一来目标就显得非常精准且靠谱。受害者被忽悠到一个长得特别像openclaw.ai的假网站后,立马会看到一个叫"连接钱包"的恶意提示。要是真点进去连上了钱包,那钱立马就没了。 研究人员还扒出了个坏文件叫"eleven.js",里面藏了个能偷钱的JavaScript代码。等这东西触发后,骗子还会用自带的"nuke"功能把浏览器里的记录抹得干干净净,防止被查出来继续作案。而且他们会通过PromptTx、Approved还有Declined这些命令去盯着用户操作,把钱包地址和交易金额这些数据加密发送到自家服务器上。 OX Security这次给了大家两个网址让大家拉黑:token-claw[.]xyz和watery-compost[.]today。不管什么新项目,或者看着不像正经的网站,千万别随便把钱包连上去。 说到OpenClaw的创建者Peter Steinberger,他是个对加密货币抱有强烈抵触心理的人。在他的Discord服务器里,只要谁敢提加密货币的事儿,那立马就得被踢出去。总之大家以后上网要擦亮眼睛,遇到这种事一定要小心警惕。