Hacker sfruttano l'hype di OpenClaw su GitHub per rubare fondi in criptovalute

I truffatori crypto stanno sfruttando la crescente visibilità di OpenClaw per prendere di mira gli sviluppatori tramite una campagna di phishing coordinata su GitHub, secondo un rapporto di OX Security.

La campagna si concentra su false richieste di ricompensa legate ai token $CLAW e mira a indurre gli utenti a collegare i propri wallet a siti web malevoli.

L'attività è emersa mentre OpenClaw guadagna trazione a seguito di cambi nella leadership e della transizione verso un progetto open source gestito da una fondazione.

I ricercatori affermano che gli attaccanti sfruttano l'attività degli sviluppatori su GitHub per rendere lo schema credibile e personalizzato.

Tattiche di targeting su GitHub

L'operazione di phishing viene condotta tramite repository GitHub controllati dagli aggressori.

Gli attori malevoli creano account falsi, aprono thread di issue e taggano un gran numero di sviluppatori per massimizzare la visibilità.

In un esempio evidenziato dai ricercatori, agli sviluppatori è stato detto che erano stati selezionati per un'allocazione OpenClaw.

Il messaggio affermava che i destinatari avevano vinto $5.000 in token $CLAW e li indirizzava a un sito web progettato per imitare da vicino openclaw.ai.

Si ritiene che gli aggressori identifichino i bersagli analizzando la funzione star di GitHub.

Focalizzandosi sugli utenti che hanno messo una stella a repository collegati a OpenClaw, i messaggi appaiono più pertinenti e convincenti.

Meccanismo di svuotamento dei wallet

Una volta che gli utenti arrivano sul sito falso, viene richiesto loro di collegare il proprio wallet tramite una funzione “Connetti il tuo wallet”.

Questa operazione attiva script malevoli che consentono agli aggressori di prosciugare i fondi.

OX Security ha segnalato che le pagine di phishing includono JavaScript offuscato progettato per nascondere le funzioni di furto dei wallet.

È stato identificato un file chiamato eleven.js come componente chiave dell'attacco.

Il malware include una funzione “nuke” integrata, che cancella le tracce dalla local storage del browser dopo l'esecuzione.

Questo aiuta gli aggressori a evitare il rilevamento continuando al contempo a monitorare l'attività degli utenti.

Tracciamento ed esfiltrazione dei dati

Il codice malevolo traccia il comportamento degli utenti attraverso una serie di comandi come PromptTx, Approved e Declined.

Questi comandi permettono agli aggressori di monitorare le interazioni in tempo reale.

I dati codificati, incluse gli indirizzi dei wallet e i valori delle transazioni, vengono inviati a un server di comando e controllo.

I ricercatori hanno dichiarato che almeno un indirizzo wallet collegato alla campagna è già stato identificato come destinazione dei fondi rubati.

Finora non è stato confermato il numero di vittime. Tuttavia, l'infrastruttura e i metodi di targeting suggeriscono che la campagna è attivamente alla ricerca di nuovi utenti.

OpenClaw prende le distanze dal crypto

La campagna di phishing coincide con l'aumentato interesse intorno a OpenClaw.

Il progetto ha guadagnato visibilità dopo che il CEO di OpenAI Sam Altman ha annunciato che il creatore Peter Steinberger avrebbe guidato il suo impegno verso agenti AI personali.

Nonostante la truffa a tema crypto, Steinberger ha adottato una linea rigida contro le criptovalute all'interno dell'ecosistema OpenClaw.

Qualsiasi menzione di asset crypto sul server Discord del progetto può portare alla rimozione.

Questa politica segue un precedente incidente durante il rebrand di OpenClaw.

All'epoca, i truffatori promossero un token basato su Solana chiamato $CLAWD, che raggiunse una capitalizzazione di mercato di circa $16 milioni prima di calare di oltre il 90% dopo che Steinberger negò qualsiasi collegamento.

OX Security ha consigliato agli utenti di bloccare domini come token-claw[.]xyz e watery-compost[.]today e di evitare di collegare i wallet a piattaforme appena scoperte o non verificate.