- Los atacantes atacan a desarrolladores de OpenClaw a través de incidencias en GitHub y correos electrónicos de phishing.
- El sitio malicioso clona la interfaz oficial y activa la conexión de la cartera para ejecutar el drenaje de fondos.
- El malware ofuscado rastrea los datos de la cartera y los envía a un servidor remoto antes de ejecutar el drenaje.
Una nueva campaña de phishing está dirigida a desarrolladores vinculados al proyecto OpenClaw, utilizando airdrops falsos de tokens para engañar a los usuarios y que conecten monederos cripto. El ataque se extiende a través de GitHub y sitios web clonados, con el objetivo de agotar fondos una vez que se conceda el acceso.
La empresa de seguridad OX Security identificó la campaña, señalando que los atacantes están suplantando activamente el ecosistema OpenClaw para llegar directamente a los desarrolladores.
GitHub usado como vector de ataque principal
Los atacantes no dependen del spam aleatorio, sino que apuntan a los desarrolladores donde están más activos. Se crean cuentas falsas de GitHub y se abren hilos de incidencia en repositorios controlados por atacantes.
Decenas de desarrolladores están etiquetados en cada publicación para maximizar el alcance. El mensaje es sencillo: los destinatarios han sido seleccionados para recibir fichas CLAW por valor de 5.000 dólares.
La segmentación parece deliberada, ya que los atacantes pueden estar extrayendo a usuarios que interactuaron con repositorios relacionados con OpenClaw, haciendo que los mensajes parezcan relevantes y creíbles.
Al mismo tiempo, los correos electrónicos de phishing se están enviando a través de los sistemas de notificación de GitHub. Estos correos reflejan la misma propuesta y usan nombres como «ClawFunding» y «ClawReward» para parecer legítimos.
Clones de sitios falsos Interfaz OpenClaw
Los atacantes redirigieron a los usuarios a través de enlaces, incluidos los acortadores de enlaces de Google, hacia un dominio de phishing que imita de cerca el sitio oficial de OpenClaw. La interfaz es idéntica, salvo por una novedad clave: un aviso de conexión a la cartera. Una vez conectada la cartera, comienza el ataque.
La página de phishing soporta múltiples monederos, incluyendo MetaMask, Trust Wallet, OKX Wallet, Bybit Wallet y WalletConnect, aumentando las posibilidades de interacción del usuario.
El núcleo del ataque se encuentra dentro de un archivo JavaScript ofuscado. Este código gestiona la interacción con la cartera, rastrea las acciones del usuario y envía datos a un servidor remoto.
Los datos capturados incluyen direcciones de monederos, valores de transacciones e identificadores de usuario. El sistema utiliza señales de comando, como indicaciones de transacciones y seguimiento de aprobaciones, para monitorizar el comportamiento en tiempo real.
Se utiliza un servidor de comando y control para recibir los datos y ejecutar el drenaje. Se ha identificado una dirección de cartera dedicada como el principal destino de los fondos robados.
El malware también incluye una función de limpieza que elimina las trazas del navegador tras la ejecución, dificultando la detección y el análisis forense.
En esta fase, no hay informes confirmados de pérdidas de fondos. Sin embargo, la estructura del ataque es totalmente operativa.
La campaña se lanzó utilizando cuentas de GitHub recién creadas, que fueron eliminadas poco después de que comenzara la actividad. Esto sugiere una estrategia de ciclo de vida corto diseñada para evitar la detección.
Relacionado: Solana y Base compiten mientras los agentes de IA se lanzan completamente a OpenClaw
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
