文章总结： 攻击者利用GitHub通知系统发起钓鱼攻击，创建虚假OpenClaw代币赠礼活动，标记多名开发者声称奖励5000美元代币，诱导访问克隆网站并连接加密钱包，从而清空钱包资产。攻击使用恶意JavaScript清除浏览器存储证据以阻碍追踪。建议开发者对GitHub上的意外获奖信息保持警惕，如接触过钓鱼网站应立即撤销钱包授权并屏蔽相关域名。 综合评分： 84 文章分类： 威胁情报,社会工程学,WEB安全,恶意软件,漏洞预警

【安全圈】虚假OpenClaw代币赠礼活动瞄准GitHub开发者实施钱包清空骗局

安全圈

2026年3月26日 19:01 江苏

关键词

AI钓鱼

参与OpenClaw项目的软件开发人员正成为一场旨在清空其数字钱包的危险钓鱼活动的最新目标。安全研究公司OX Security最新发现，攻击者利用GitHub自身通知系统，将毫无戒心的用户诱导至欺诈网站。

5000美元诱饵

骗局始于GitHub平台，攻击者创建虚假账户开启新讨论帖。为扩大传播范围，他们在帖子中标记数十名真实开发者。这种标记机制会直接向受害者发送邮件或推送通知，使信息看起来像是日常工作中的正常内容。

在这些讨论帖中，诈骗者宣称特定开发者因贡献突出，被选中获得价值5000美元的$CLAW代币奖励。攻击者使用的典型话术包括：”感谢您在GitHub的贡献。我们通过分析档案，选定您获得OpenClaw代币分配”。

根据OX Security团队向Hackread.com提供的研究报告，帖子中的链接（通常使用Google LinkShare短地址）会跳转至token-claw.xyz域名。该网站几乎完全克隆了官方OpenClaw页面。

钓鱼诱饵与恶意网站主页（图片来源：OX Security）

唯一显著区别是页面上的”连接钱包”按钮。研究人员发现该网站支持MetaMask、Trust Wallet、OKX和Bybit等主流钱包服务。一旦用户连接钱包试图领取奖励，攻击者就能清空其中所有资产。

钓鱼页面支持多种加密货币钱包（图片来源：OX Security）

隐匿行踪

研究人员发现攻击者使用名为eleven.js的JavaScript文件承载恶意指令，其中包含专门设计的”核弹”函数——该功能会清除用户浏览器存储中的所有盗窃证据，阻碍后续犯罪追踪。这表明网络罪犯仍采用复杂手段掩盖行踪。

据分析，攻击者很可能通过筛查GitHub上关注或参与OpenClaw相关项目的用户来锁定目标。这种精准筛选使得标记行为更具迷惑性。

防护建议

虽然目前尚未确认受害者，但攻击者上周已创建多个专用账户实施传播。值得注意的是，这些账户在活动启动数小时后即被删除以规避检测。研究人员还定位到用于接收赃款的特定钱包地址（0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5）。

OX Security专家建议，任何可能接触过该网站的开发者应立即撤销钱包授权并屏蔽token-claw.xyz域名。常规安全原则是：对GitHub上任何宣称意外获奖的议题都应保持高度警惕。

END

阅读推荐

【安全圈】上海警方深入推进“涉企网络谣言”打击整治：处置 270 余个违规账号，AI 洗稿编造车企销量下滑等行为被严惩

【安全圈】AI 圈地震：月安装量约 9500 万次的 API 网关 LiteLLM 遭投毒

【安全圈】HackerOne 披露员工数据泄露事件：第三方服务商 Navia 遭入侵

【安全圈】马自达通报安全事件：员工和合作伙伴数据遭泄露

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】虚假OpenClaw代币赠礼活动瞄准GitHub开发者实施钱包清空骗局》