최근 깃허브 플랫폼에서 '오픈클로(OpenClaw)' 개발자를 목표로 한 피싱 공격이 확대되고 있다. 공격자들은 가짜 토큰 에어드롭에 당첨되었다는 미끼로 사용자의 암호화폐 지갑을 연결하도록 유도하고, 이 과정에서 사용자의 자산을 불법적으로 취득하는 방식이다. 사이버보안 업체 OX 시큐리티는 이러한 공격에 대해 19일(현지시간) 블로그를 통해 경고를 발령했다.

공격자들은 가짜 깃허브 계정을 생성한 후, 오픈클로 프로젝트와 관련된 저장소에서 활동한 개발자들을 대상으로 해 이슈 스레드에서 태그를 통해 접근하고 있다. 이들은 "약 5,000달러(약 748만 원) 가치의 CLAW 토큰을 받을 수 있다"는 내용의 메시지로 피해자들을 유인한다. 이 과정에서 링크를 클릭하도록 유도되며, 클릭하는 즉시 오픈클로 공식 웹사이트와 유사한 복제 페이지로 이동하게 된다.

복제 페이지에서는 메타마스크(MetaMask), 월렛커넥트(WalletConnect), 트러스트 월렛(Trust Wallet)과 같은 다양한 지갑 연결 옵션이 제공된다. 그러나 이 페이지에서 지갑을 연결하는 순간, 숨겨진 악성 코드가 활성화되어 거래 서명이나 토큰 승인(approve)을 유도한다. 이로 인해 공격자는 사용자의 자산을 인출할 수 있는 권한을 확보하게 된다. 업계에서는 이러한 공격 방식을 '월렛 드레이너(wallet drainer)'로 부르며, 사용자가 승인하는 순간 자산이 탈취될 위험이 높아진다.

이번 공격은 사회공학적 기법을 활용해, 신뢰를 형성한 후 지갑 연결을 요구하는 방식으로, 에어드롭이나 개발자 보상으로 위장되어 있다. 특히, 공격자는 오픈클로 관련 리포지토리에 최근 반응을 보였던 깃허브 계정을 선택하여 메시지를 발송함으로써 피해자의 신뢰를 더욱 높이는 전략을 구사한다.

한편, 오픈클로는 오픈소스 AI 에이전트 프레임워크로 최근 주목받고 있으며, 그러나 이 이름을 악용한 크립토 스캠의 사례가 끊이지 않고 있다. 오픈클로의 창립자인 피터 슈타인베르거는 지난달 "크립토와 관련된 문제로 코드베이스 전체를 삭제할 뻔했다"며, 공격자들이 스크립트와 도구를 능숙하게 다룬다는 점을 강조했다.

오픈클로의 디스코드 채널에서는 비트코인(BTC) 등 암호화폐와 관련된 언급을 금지하는 조치가 취해진 바 있다. 이는 지난 1월 부정행위자들이 오픈클로의 과거 계정을 탈취한 뒤 가짜 ‘CLAWD’ 토큰을 홍보한 사건의 후폭풍을 반영한 조치이다. 이 사건은 당시 해당 토큰이 시가총액 1,600만 달러(약 239억 원)에 달하는 등 큰 영향을 미쳤으나, 슈타인베르거의 공식 부인으로 인해 급락한 것으로 알려졌다.

현재 업계에서는 지갑 연결 요청이나 승인 요청이 포함된 링크의 출처를 철저히 확인하는 것이 더욱 중요해졌다고 보고 있다. 사용자는 특히 GitHub 이슈에서 태그나 다이렉트 메시지를 통한 피싱 가능성을 염두에 두고, 에어드롭 및 보상 제안은 원칙적으로 무시하는 것이 필요하다. 지갑 연결 전에는 도메인 철자, SSL 인증, 공식 채널 공지 여부, 그리고 요청되는 서명/승인 내용을 점검해야 한다. 이미 승인한 경우, 해당 체인에서 즉시 토큰 승인을 취소하고, 지갑을 분리 후 의심스러운 사이트나 계정을 신고하는 조치를 취해야 한다.