Siber güvenlik alanında faaliyet gösteren OX Security, kripto geliştiricileri hedef alan yeni bir oltalama kampanyasını ortaya çıkardı. Saldırının, Openclaw ekosistemini taklit eden sahte Github hesapları üzerinden yürütüldüğü ve geliştiricilere doğrudan ulaşıldığı aktarıldı. Özellikle açık kaynak projelerde aktif olan kullanıcıların hedef alınması dikkat çekti.
Sahte Token Vaadiyle Geliştiricilere Ulaşım
Saldırganların, Github üzerindeki depolarda “issue” başlıkları açarak kullanıcıları etiketlediği ve 5.000 dolar değerinde sözde CLAW token kazanıldığını iddia ettiği belirtildi. Mesajlarda yer alan bağlantılar, openclaw.ai sitesine oldukça benzeyen sahte bir web sayfasına yönlendiriyor. Bu sahte sayfada yer alan cüzdan bağlantı isteği, kullanıcı tarafından onaylandığında zararlı işlemler başlatılıyor.
Cüzdan Bağlantısı Sonrası Varlıklar Tehlikeye Giriyor
OX Security bünyesinde çalışan Moshe Siman Tov Bustan ve Nir Zadok tarafından yapılan teknik incelemede, cüzdan bağlantısı sonrası kullanıcı varlıklarının boşaltılabildiği ifade edildi. Saldırının sosyal mühendislik yöntemleriyle kişiselleştirilmiş gibi gösterildiği, özellikle Openclaw ile ilgili projelerle daha önce etkileşime giren kullanıcıların hedeflenmiş olabileceği değerlendiriliyor.
Altyapı ve Zararlı Kod Detayları Ortaya Çıktı
Teknik analizler, saldırı altyapısında yönlendirme zincirleri ve kontrol sunucularının bulunduğunu ortaya koydu. Kullanıcılar, token-claw[.]xyz alan adına yönlendirilirken, watery-compost[.]today adresinde barındırılan bir komuta kontrol sunucusunun devrede olduğu tespit edildi. Zararlı JavaScript kodunun cüzdan adresleri ve işlem detayları gibi verileri toplayarak saldırganlara ilettiği belirlendi.
Araştırmacılar, tehdit aktörüyle bağlantılı olduğu düşünülen bir kripto cüzdan adresinin de tespit edildiğini aktardı. Kod içinde kullanıcı davranışlarını izleyen ve yerel depolama verilerini temizleyen işlevlerin bulunması, saldırının izlenmesini zorlaştırıyor.
Şu ana kadar doğrulanmış mağdur vakası bulunmasa da kampanyanın aktif şekilde devam ettiği bildiriliyor. Kullanıcılara, tanımadıkları sitelere cüzdan bağlamamaları ve Github üzerinden gelen beklenmedik token tekliflerine temkinli yaklaşmaları öneriliyor.
Öte yandan Certik tarafından yayımlanan ayrı bir raporda, Openclaw sistemi etrafındaki “skill scanning” açıklarına da dikkat çekildi. İncelenen bir örnek uygulamada, sistemin güvenlik katmanını aşabilen bir zafiyet bulunduğu ve bunun istismar edilebildiği ifade edildi.
Openclaw, yapay zeka tabanlı ajan sistemleri geliştirmeye odaklanan bir platform olarak son dönemde geliştiriciler arasında hızla yaygınlaşmış durumda. Artan ilgiyle birlikte, bu tür platformların siber saldırılar için daha cazip hedef haline geldiği görülüyor.
