- Les attaquants ciblent les développeurs OpenClaw via des problèmes GitHub et des emails de phishing.
- Le site malveillant clone l’interface officielle et déclenche la connexion au portefeuille pour effectuer un déchargement des fonds.
- Un malware obscurci suit les données du portefeuille et les envoie à un serveur distant avant d’exécuter la décharge.
Une nouvelle campagne de phishing vise les développeurs liés au projet OpenClaw, utilisant de faux jetons aériens pour tromper les utilisateurs afin de connecter des portefeuilles cryptographiques. L’attaque se propage via GitHub et des sites clonés, dans le but de vider les fonds une fois l’accès accordé.
La société de sécurité OX Security a identifié la campagne, notant que les attaquants usurpent activement l’identité de l’écosystème OpenClaw pour atteindre directement les développeurs.
GitHub utilisé comme vecteur d’attaque principal
Les attaquants ne comptent pas sur le spam aléatoire mais ciblent les développeurs là où ils sont les plus actifs. De faux comptes GitHub sont créés, et des fils de discussion sont ouverts dans des dépôts contrôlés par les attaquants.
Des dizaines de développeurs sont tagués dans chaque post pour maximiser leur portée. Le message est simple : les destinataires ont été sélectionnés pour recevoir pour 5 000 $ de jetons CLAW.
Le ciblage semble délibéré, car les attaquants peuvent extraire des utilisateurs ayant interagi avec des dépôts liés à OpenClaw, rendant ainsi les messages pertinents et crédibles.
Parallèlement, des emails de phishing sont envoyés via les systèmes de notification GitHub. Ces emails reflètent le même argument et utilisent des noms comme « ClawFunding » et « ClawReward » pour paraître légitimes.
Interface OpenClaw des clones de sites factices
Les attaquants ont redirigé les utilisateurs via des liens, y compris des raccourceurs de liens Google, vers un domaine de phishing qui imite étroitement le site officiel d’OpenClaw. L’interface est identique, à l’exception d’une clé : une invite de connexion au portefeuille. Une fois le portefeuille connecté, l’attaque commence.
La page de phishing prend en charge plusieurs portefeuilles, dont MetaMask, Trust Wallet, OKX Wallet, Bybit Wallet et WalletConnect, augmentant ainsi les risques d’interaction des utilisateurs.
Le cœur de l’attaque se trouve à l’intérieur d’un fichier JavaScript bloqué. Ce code gère les interactions avec le portefeuille, suit les actions des utilisateurs et envoie les données à un serveur distant.
Les données capturées incluent les adresses de portefeuille, les valeurs de transaction et les identifiants utilisateurs. Le système utilise des signaux de commande tels que des invites de transaction et le suivi d’approbation pour surveiller le comportement en temps réel.
Un serveur de commande et de contrôle est utilisé pour recevoir les données et exécuter le drain. Une adresse portefeuille dédiée a été identifiée comme principale destination des fonds volés.
Le malware inclut également une fonction de nettoyage qui supprime les traces du navigateur après l’exécution, rendant la détection et l’analyse médico-légale plus difficiles.
À ce stade, aucun rapport confirmé de perte de fonds n’est confirmé. Cependant, la structure de l’attaque est pleinement opérationnelle.
La campagne a été lancée en utilisant de nouveaux comptes GitHub créés, qui ont été supprimés peu après le début de l’activité. Cela suggère une stratégie de cycle de vie courte conçue pour éviter la détection.
En lien : Solana et Base s’affrontent alors que les agents IA se lancent entièrement en onchain avec OpenClaw
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
