新型社交工程攻击瞄准开源开发者

一项针对GitHub平台开源项目贡献者的定向网络钓鱼活动近期被披露,攻击者通过伪造空投奖励诱导用户连接钱包,进而窃取数字资产。该事件揭示了开发者在公开参与过程中面临的身份暴露风险,尤其在项目关注度上升阶段更易成为目标。

恶意行为链:从关注列表到钱包窃取

攻击者利用GitHub的公开关注数据,爬取与OpenClaw相关仓库的关注者名单,构建潜在目标池。随后创建临时虚假账户,在受控仓库中发起议题并提及多名开发者用户名,制造可信互动假象。此类操作将原本正常的社区交流转化为攻击入口,提升了欺骗成功率。

伪装网站与恶意脚本协同作案

受害者收到声称获得价值5000美元CLAW代币的提示后,被引导至克隆的openclaw.ai网站。页面嵌入名为“eleven.js”的混淆JavaScript文件,执行后可捕获钱包连接请求中的敏感信息。该脚本内置指令如“PromptTx”“Approved”“Declined”,用于编码并上传凭证数据至远程服务器,同时具备清除本地存储记录的能力,降低事后溯源可能。

攻击时机与隐蔽策略

此次行动发生在OpenAI宣布由OpenClaw创始人主导其AI智能体计划数周后,表明攻击者有意选择热点话题提升传播效率。两个钓鱼域名均在创建后数小时内注销,配合快速部署与销毁流程,压缩平台检测与封禁响应时间窗口,显著增加防御难度。

行业警示与应对建议

OpenClaw创始人已公开声明项目为纯开源性质,不涉及任何商业推广或代币分发,呼吁社区成员仅通过官方渠道核实信息。安全专家强调,当前市场情绪处于“极度恐惧”状态,交易活跃度高但风险意识可能下降,开发者应提高对未请求代币赠予的警觉性。建议立即屏蔽已知钓鱼域名,并在点击任何外部链接前通过官方渠道进行交叉验证。目前尚未有监管机构或平台发布正式通报。