オープンソースのAIプロジェクトであるOpenClawに関連する開発者が、GitHubを狙った高度なフィッシング攻撃の標的となっています。詐欺師は偽アカウントやトークンインセンティブを利用し、ユーザーを騙して暗号通貨ウォレットを接続させる手口を使い、オープンソースの暗号プロジェクトのセキュリティに対する懸念が高まっています。
セキュリティ調査会社OX Securityの調査によると、OpenClaw AIプロジェクトに関わる開発者を狙ったフィッシング活動が活発に行われていることが判明しました。
攻撃者は偽のGitHubアカウントを作成し、悪意のあるリポジトリにイシューを立て、開発者をタグ付けして「5,000 CLAWトークンを受け取る権利を得た」といったメッセージを送信。受信者をリンクに誘導し、暗号通貨ウォレットを接続させる仕組みです。
フィッシングリンクは、正規のOpenClawウェブサイトを模倣したクローンサイトに誘導されます。そのサイトには「ウォレットを接続する」ボタンが設置されていました。
もし一人でも開発者がウォレットを接続してしまうと、攻撃者は秘密鍵にアクセスでき、個人資金を盗み出す可能性があります。金銭的な損失だけでなく、侵害された開発者アカウントを使ってOpenClawプロジェクトに悪意のあるコードを挿入されるリスクもあります。
攻撃者は、GitHubのイシューで開発者をタグ付けしたり、公式の連絡を模倣したりといった信頼性のある社会工学的手法を用いて、誘いを正当化しようとしました。
クローンサイトは、WalletConnect、MetaMask、Trust Walletなどの広く使われているウォレットに対応していました。
悪意のあるアカウントは作成後数時間以内に削除されており、現時点で盗難の報告は確認されていません。
攻撃の手口は積極的ですが、現時点では資金の盗難に関する公的な報告はありません。調査チームは引き続き状況を監視しています。
OX Securityは、ユーザーに対して信頼できないサイトへのウォレット接続を避けること、フィッシングドメインへのアクセスをブロックすること、トークン配布に関するGitHubのメッセージには疑いを持つことを推奨しています。
OpenClawのようなオープンソースの暗号プロジェクトは、コミュニティの信頼に依存しています。攻撃が成功すれば、プロジェクトへの信頼が揺らぎ、貢献や採用が遅れる可能性があります。開発者がこのような攻撃を恐れるようになると、イノベーションの停滞やオープンソースへの貢献減少、さらにはプロジェクトの厳格な審査プロセスの導入を余儀なくされる恐れもあります。
DailyCoinの最新の暗号通貨トレンド情報を今すぐチェック:
FRBは金利を据え置き、暗号市場は「売りのニュース」モード
ETHはETF流入とオープンインタレストの増加で強含み
GitHubのフィッシング攻撃とは何ですか? GitHubのフィッシング攻撃は、攻撃者が偽のアカウントやリポジトリを作成し、開発者に対して敏感な情報(暗号通貨ウォレットの鍵など)を漏らさせる詐欺行為です。
OpenClawとは何ですか? OpenClawは、オープンソースのAIプロジェクトで、エコシステム内で使用されるネイティブの暗号通貨トークン$CLAWも統合しています。
なぜ投資者ではなく開発者が狙われるのですか? 開発者はプロジェクトのコードや展開権限、コミュニティの信頼を持っているためです。彼らを侵害することで、プロジェクトの信頼性や安全性に影響を与えることができ、個人のウォレットだけでなくプロジェクト全体に悪影響を及ぼす可能性があります。
