최근 깃허브에서 오픈클로(OpenClaw) 개발자를 겨냥한 ‘에어드롭 피싱’ 공격이 확산되고 있어 주의가 요구된다. 공격자들은 가짜 토큰 에어드롭 당첨을 미끼로 암호화폐 지갑 연결을 유도한 후, 피해자의 자산을 빼돌리는 방식으로 운영된다.
텔아비브 소재의 사이버 보안 업체 OX 시큐리티는 19일(현지시간) 발표한 블로그 글에서, 공격자들이 허위 깃허브 계정을 만들어 오픈클로 관련 저장소에서 활동한 개발자들을 이슈(issue) 스레드에서 태그해 접근하고 있다고 밝혔다. 이들은 “약 5,000달러(약 748만 원) 상당의 CLAW 토큰을 받을 수 있다”는 메시지로 피해자를 유인하고 있다.
피해자가 안내 링크를 클릭하게 되면, 오픈클로의 공식 웹사이트와 유사한 복제 페이지로 이동하게 된다. 이 페이지는 ‘지갑 연결’ 버튼이 추가된 복제 사이트로, 메타마스크(MetaMask), 월렛커넥트(WalletConnect), 트러스트 월렛(Trust Wallet) 등 주요 지갑 연결을 지원하는 형태로, 피해 범위를 넓히고 있다.
이런 방식은 페이지에 숨겨진 악성 코드가 작동하여 거래 서명이나 토큰 승인(approve)을 유도하고, 공격자가 자산을 ‘인출’할 수 있는 권한을 얻도록 하는 것으로, 이 같은 기술적 방법을 ‘월렛 드레이너(wallet drainer)’라고 부른다.
이번 사건은 크립토 분야에서 반복되는 공격 패턴을 잘 보여준다. 사회공학적 접근을 통해 신뢰를 쌓고, 이후 지갑 연결을 요구하는 방식으로 이뤄진다. 이는 겉으로는 에어드롭이나 개발자 보상처럼 보이지만, 실질적으로는 승인 권한을 탈취하여 자산을 무단으로 이동시키는 구조다.
특히, 공격자는 오픈클로와 관련된 리포지토리에 반응을 보인 깃허브 계정을 선별하여 메시지를 보내며, 여기에 신뢰성을 더하는 수법을 사용했다. 오픈클로는 최근 오픈소스 AI 에이전트 프레임워크로 주목받고 있지만, 그 이름을 악용한 크립토 사기 논란에 휘말리기도 했다. 오픈클로의 창립자 피터 슈타인베르거는 “이들은 단순한 괴롭힘을 넘어 스크립트와 도구를 사용할 만큼 능숙하다”라고 말했다.
모든 이슈가 깃허브 개발자들이 사용한 협업 채널을 공격 표면으로 삼고 있다는 점에서, 이번 피싱 캠페인은 그 파장이 클 것으로 예상된다. 업계 전문가는 ‘지갑 연결’이나 승인 요청이 포함된 링크는 출처를 재차 확인하고, 프로젝트의 공식 공지 채널과 대조하는 것이 중요하다고 강조하고 있다.
향후는 특히 지갑 연결이나 승인(approve) 요청 시 주의해야 할 점들이 몇 가지 있다. 사용자는 링크의 출처를 검증하고, GitHub 이슈에서의 태그 및 DM 유입이 있을 경우 피싱 가능성이 높으므로 이런 유형의 보상이나 에어드롭 제안은 철저히 무시해야 한다. 지갑 연결 전 체크리스트를 만들어 도메인 철자, SSL 인증서, 공식 SNS/디스코드 공지 등과 대조하며, 이미 승인한 경우에는 즉시 토큰 승인 취소와 자산 이동을 통해 추가 피해를 예방하는 것이 필요하다.
