위협 행위자들이 오픈클로(OpenClaw)의 바이럴 인기를 적극 악용해 무료 암호화폐 토큰을 미끼로 한 피싱 캠페인을 전개하며, 깃허브 개발자를 주요 표적으로 삼고 있다.
사이버 보안 기업 OX시큐리티(OX Security)가 공개한 자료에 따르면, 이번 캠페인은 수천 달러 상당의 보상을 약속하는 가짜 ‘CLAW’ 토큰 에어드롭을 포함하고 있다. 개발자들은 악성 깃허브 저장소와 토론으로 유인된 뒤, 실제와 매우 유사하게 복제된 웹사이트로 리디렉션되며, 이 사이트는 암호화폐 지갑 연결을 요구한다.
OX 연구진은 블로그를 통해 “위협 행위자는 공격자가 통제하는 저장소에서 이슈를 생성하고, 가시성과 도달 범위를 극대화하기 위해 깃허브 사용자를 태그한다”라며 “연결된 사이트는 openclaw.ai와 거의 동일하게 복제됐지만, 한 가지 차이점이 있다. 지갑 탈취를 유도하기 위한 ‘지갑 연결(connect your wallet)’ 버튼이 추가돼 있다”라고 설명했다.
연구진은 공격자가 이번 캠페인을 위해 여러 개의 계정을 생성했으며, 캠페인 시작 몇 시간 후 모든 계정을 삭제했다고 밝혔다. 분석 결과, 현재까지 이번 공격으로 인한 피해 사례는 확인되지 않았다.
공격 경로로 활용된 깃허브
이번 캠페인은 피싱 공격을 깃허브 워크플로 내부로 끌어들인 점에서 주목된다. 이는 비교적 드문 방식이다. 공격자는 저장소를 생성하거나 탈취한 뒤, 매력적인 콘텐츠를 게시하고 개발자를 태그하거나 토론에 참여해 노출을 확대했다.
또한 정상적인 이슈, 풀 리퀘스트, 저장소 언급처럼 보이는 사회공학적 기법을 활용해 의심을 피했다. 깃허브는 개발자가 일상적으로 사용하는 플랫폼이라는 점에서 신뢰도가 높기 때문에 공격에 활용된 것으로 보인다. 익숙한 환경에서 확산된 링크일수록 클릭 가능성이 높다는 점을 노린 것이다.
피해자는 “깃허브 프로젝트 기여에 감사드린다. 프로필을 분석해 오픈클로 할당 대상으로 개발자를 선정했다”라는 내용의 깃허브 이슈를 통해 처음 접근된다. 해당 메시지는 5,000달러 상당의 CLAW 토큰을 한정 기간 동안 제공한다는 형식으로 구성돼 있으며, 토큰을 수령하려면 악성 사이트를 방문하도록 유도한다. 연구진은 “공격자가 오픈클로 관련 저장소에 ‘스타’를 표시한 사용자를 식별하기 위해 깃허브의 스타 기능을 활용했을 가능성이 있다”라며 “이로 인해 피싱 캠페인이 수신자에게 더욱 신뢰할 만하고 관련성 높은 제안처럼 보이게 된다”라고 분석했다.
CLAW 토큰은 실제 존재하지 않는 가짜 토큰으로, 사기 시나리오에서 신규 출시 토큰으로 홍보되고 있다. 오픈클로 개발자 피터 스타인버거는 과거 해당 프로젝트가 토큰을 발행할 계획이 전혀 없으며, 토큰 발행을 주장하는 모든 내용은 사기라고 명확히 밝힌 바 있다.
고도로 난독화된 악성 코드
OX에 따르면, 피싱 및 지갑 탈취에 사용된 악성 코드는 ‘고도로 난독화(highly obfuscated)’돼 있으며 저장소 내 ‘eleven.js’ 자바스크립트 파일에 포함돼 있다.
공격자는 ‘watery-compost[.]today’ 도메인을 명령·제어(C2) 서버로 활용해 지갑 주소, 거래 금액, 사용자 이름 등 정보를 수집하고, 지갑이 연결되면 자산을 탈취하도록 설계했다. C2 서버에서 사용된 명령어에는 PromtTx, Approved, Declined 등이 포함된 것으로 확인됐다. 또한 악성 코드에는 ‘nuke’ 기능이 포함돼 있어 브라우저 로컬 스토리지에 저장된 지갑 탈취 관련 정보를 삭제함으로써 탐지 및 포렌식 분석을 회피하도록 설계됐다고 연구진은 설명했다.
코드 분석 과정에서 ‘0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5’ 주소가 추출됐으며, 이는 탈취한 암호화폐를 수령하는 데 사용된 공격자의 지갑 주소로 확인됐다. 피싱 페이지 ‘token-claw[.]xyz’는 WalletConnect, 메타마스크, 트러스트 월렛, OKX 월렛, 바이비트 월렛 등 다양한 암호화폐 지갑을 지원하는 것으로 나타났다.
OX 연구진은 모든 환경에서 해당 피싱 도메인을 차단하고, 신뢰할 수 없는 웹사이트에 암호화폐 지갑을 연결하지 말 것을 권고했다. 또한 출처가 불분명한 토큰 증정 이슈는 의심스럽게 접근해야 하며, 이번 캠페인과 관련된 최근 지갑 연결 기록을 검토하고 모든 승인 권한을 즉시 철회해야 피해를 예방할 수 있다고 안내했다.
dl-ciokorea@foundryco.com
Read More from This Article: 오픈클로 사칭 피싱 확산…깃허브 개발자 노린 가짜 ‘CLAW’ 토큰 공격
Source: News