Hackers exploram hype do OpenClaw no GitHub para roubar fundos cripto

Golpistas de cripto estão explorando a crescente visibilidade do OpenClaw para alvejar desenvolvedores por meio de uma campanha coordenada de phishing no GitHub, segundo um relatório da OX Security.

A campanha se concentra em alegações falsas de recompensas vinculadas a tokens $CLAW e visa enganar usuários para que conectem suas carteiras de criptomoedas a sites maliciosos.

A atividade surgiu à medida que o OpenClaw ganha tração após mudanças na liderança e sua transição para um projeto open source administrado por uma fundação.

Pesquisadores dizem que os atacantes estão aproveitando a atividade de desenvolvedores no GitHub para tornar o esquema mais crível e personalizado.

Táticas de direcionamento no GitHub

A operação de phishing é realizada por meio de repositórios no GitHub controlados pelos atacantes.

Atores maliciosos criam contas falsas, abrem threads de issues e marcam grande número de desenvolvedores para maximizar a visibilidade.

Em um exemplo destacado pelos pesquisadores, desenvolvedores foram informados de que haviam sido selecionados para uma alocação do OpenClaw.

A mensagem afirmava que os destinatários haviam ganhado $5,000 em tokens $CLAW e os direcionava a um site projetado para imitar de perto o openclaw.ai.

Acredita-se que os atacantes estejam identificando alvos analisando o recurso de "star" do GitHub.

Ao focar em usuários que deram "star" em repositórios vinculados ao OpenClaw, as mensagens parecem mais relevantes e convincentes.

Mecanismo de esvaziamento de carteiras

Uma vez que os usuários acessam o site falso, são solicitados a conectar suas carteiras de criptomoedas por meio de um recurso "Connect your wallet".

Esse passo ativa scripts maliciosos que permitem aos atacantes esvaziar fundos.

A OX Security relatou que as páginas de phishing incluem JavaScript ofuscado projetado para ocultar funções de roubo de carteiras.

Um arquivo chamado eleven.js foi identificado como componente-chave do ataque.

O malware inclui uma função incorporada "nuke", que limpa vestígios do armazenamento local do navegador após a execução.

Isso ajuda os atacantes a evitar detecção enquanto continuam a monitorar a atividade do usuário.

Rastreamento e exfiltração de dados

O código malicioso rastreia o comportamento do usuário por meio de uma série de comandos, como PromptTx, Approved e Declined.

Esses comandos permitem que os atacantes monitorem as interações em tempo real.

Dados codificados, incluindo endereços de carteira e valores de transação, são enviados para um servidor de comando e controle.

Pesquisadores disseram que pelo menos um endereço de carteira ligado à campanha já foi identificado como destino de fundos roubados.

Ainda não há número confirmado de vítimas. No entanto, a infraestrutura e os métodos de direcionamento sugerem que a campanha está ativamente buscando novos alvos.

OpenClaw se distancia de criptomoedas

A campanha de phishing coincide com a atenção crescente em torno do OpenClaw.

O projeto ganhou visibilidade após o CEO da OpenAI, Sam Altman, anunciar que o criador Peter Steinberger lideraria sua investida em agentes pessoais de IA.

Apesar do golpe com temática cripto, Steinberger adotou uma posição rígida contra criptomoedas dentro do ecossistema OpenClaw.

Qualquer menção a criptoativos no servidor Discord do projeto pode resultar em remoção.

Essa política segue um incidente anterior durante a reformulação da marca do OpenClaw.

Na época, golpistas promoveram um token baseado em Solana chamado $CLAWD, que atingiu uma capitalização de mercado de cerca de $16 million antes de cair mais de 90% depois que Steinberger negou qualquer conexão.

A OX Security aconselhou os usuários a bloquear domínios como token-claw[.]xyz e watery-compost[.]today e a evitar conectar carteiras a plataformas recém-descobertas ou não verificadas.