Des hackers exploitent l'engouement pour OpenClaw sur GitHub et dérobent des cryptos

Des escrocs de la crypto exploitent la visibilité croissante d'OpenClaw pour cibler des développeurs via une campagne de phishing coordonnée sur GitHub, selon un rapport d'OX Security.

La campagne repose sur de fausses offres de récompense liées aux jetons $CLAW et vise à inciter les utilisateurs à connecter leurs portefeuilles crypto à des sites malveillants.

Cette activité est apparue alors qu'OpenClaw gagne en traction suite à des changements de direction et à sa transition en projet open source géré par une fondation.

Les chercheurs indiquent que les attaquants tirent parti de l'activité des développeurs sur GitHub pour rendre la manœuvre plus crédible et personnalisée.

Tactiques de ciblage sur GitHub

L'opération de phishing est menée via des dépôts GitHub contrôlés par les attaquants.

Les acteurs malveillants créent de faux comptes, ouvrent des fils de discussion (issues) et identifient en masse des développeurs pour maximiser la visibilité.

Dans un exemple cité par les chercheurs, des développeurs ont été informés qu'ils avaient été sélectionnés pour une allocation OpenClaw.

Le message prétendait que les destinataires avaient gagné pour $5,000 de jetons $CLAW et les dirigeait vers un site conçu pour imiter étroitement openclaw.ai.

On pense que les attaquants identifient leurs cibles en analysant la fonction "star" de GitHub.

En ciblant les utilisateurs ayant ajouté une étoile aux dépôts liés à OpenClaw, les messages paraissent plus pertinents et convaincants.

Mécanisme de vidage des portefeuilles

Une fois sur le faux site, les utilisateurs sont invités à connecter leurs portefeuilles crypto via une fonction « Connect your wallet ».

Cette étape active des scripts malveillants permettant aux attaquants de vider les fonds.

OX Security a rapporté que les pages de phishing contiennent du JavaScript obfusqué conçu pour dissimuler les fonctions de vol de portefeuilles.

Un fichier nommé eleven.js a été identifié comme composant clé de l'attaque.

Le logiciel malveillant incorpore une fonction « nuke » qui supprime les traces dans le stockage local du navigateur après exécution.

Cela aide les attaquants à éviter la détection tout en continuant de surveiller l'activité des utilisateurs.

Suivi des données et exfiltration

Le code malveillant suit le comportement des utilisateurs via une série de commandes telles que PromptTx, Approved et Declined.

Ces commandes permettent aux attaquants de suivre les interactions en temps réel.

Des données encodées, incluant les adresses de portefeuille et les montants des transactions, sont envoyées à un serveur de commande et contrôle.

Les chercheurs indiquent qu'au moins une adresse de portefeuille liée à la campagne a déjà été identifiée comme destination de fonds volés.

Aucun nombre de victimes confirmé n'a été communiqué pour l'instant. Toutefois, l'infrastructure et les méthodes de ciblage suggèrent que la campagne cherche activement de nouvelles victimes.

OpenClaw se distancie des cryptomonnaies

La campagne de phishing coïncide avec l'attention croissante portée à OpenClaw.

Le projet a gagné en visibilité après que le PDG d'OpenAI, Sam Altman, a annoncé que le créateur Peter Steinberger dirigerait son développement d'agents d'IA personnels.

Malgré l'escroquerie à thème crypto, Steinberger a adopté une position stricte contre les cryptomonnaies au sein de l'écosystème OpenClaw.

Toute mention d'actifs cryptographiques sur le serveur Discord du projet peut entraîner une exclusion.

Cette politique fait suite à un incident antérieur survenu lors du rebranding d'OpenClaw.

À l'époque, des escrocs ont promu un token basé sur Solana appelé $CLAWD, qui a atteint une capitalisation boursière d'environ $16 million avant de chuter de plus de 90% après que Steinberger ait nié toute connexion.

OX Security a conseillé aux utilisateurs de bloquer des domaines tels que token-claw[.]xyz et watery-compost[.]today et d'éviter de connecter leurs portefeuilles à des plateformes nouvellement découvertes ou non vérifiées.