- Atacantes atacam desenvolvedores do OpenClaw por meio de problemas no GitHub e e-mails de phishing.
- Site malicioso clona a interface oficial e aciona a conexão da carteira para executar drenagem de fundos.
- Malware ofuscado rastreia os dados da carteira e os envia para um servidor remoto antes de executar o dreno.
Uma nova campanha de phishing está mirando desenvolvedores ligados ao projeto OpenClaw, usando airdrops falsos de tokens para enganar usuários e conectar carteiras criptográficas. O ataque se espalha pelo GitHub e por sites clonados, com o objetivo de drenar fundos assim que o acesso for concedido.
A empresa de segurança OX Security identificou a campanha, observando que atacantes estão se passando ativamente pelo ecossistema OpenClaw para alcançar diretamente os desenvolvedores.
GitHub Usado como Vetor de Ataque Primário
Os atacantes não dependem de spam aleatório, mas estão mirando desenvolvedores onde estão mais ativos. Contas falsas do GitHub são criadas, e threads de emissão são abertos em repositórios controlados por atacantes.
Dezenas de desenvolvedores são marcados em cada post para maximizar o alcance. A mensagem é simples: os destinatários foram selecionados para receber $5.000 em tokens CLAW.
O direcionamento parece intencional, pois os atacantes podem estar extraindo usuários que interagiram com repositórios relacionados ao OpenClaw, fazendo com que as mensagens parecessem relevantes e confiáveis.
Ao mesmo tempo, e-mails de phishing estão sendo enviados por sistemas de notificação do GitHub. Esses e-mails refletem a mesma proposta e usam nomes como “ClawFunding” e “ClawReward” para parecer legítimos.
Clones de Sites Falsos Interface OpenClaw
Os atacantes redirecionaram usuários por meio de links, incluindo encurtadores de links do Google, para um domínio de phishing que imita de perto o site oficial do OpenClaw. A interface parece idêntica, exceto por uma adição importante: um prompt de conexão de carteira. Uma vez que a carteira é conectada, o ataque começa.
A página de phishing suporta múltiplas carteiras, incluindo MetaMask, Trust Wallet, OKX Wallet, Bybit Wallet e WalletConnect, aumentando as chances de interação do usuário.
O núcleo do ataque está dentro de um arquivo JavaScript ofuscado. Esse código gerencia a interação com a carteira, rastreia as ações do usuário e envia dados para um servidor remoto.
Os dados capturados incluem endereços de carteira, valores de transação e identificadores de usuário. O sistema utiliza sinais de comando, como prompts de transação e acompanhamento de aprovação, para monitorar o comportamento em tempo real.
Um servidor de comando e controle é usado para receber os dados e executar o dreno. Um endereço dedicado para carteira foi identificado como o principal destino para fundos roubados.
O malware também inclui uma função de limpeza que remove vestígios do navegador após a execução, dificultando a detecção e a análise forense.
Neste momento, não há relatos confirmados de perda de fundos. No entanto, a estrutura do ataque é totalmente operacional.
A campanha foi lançada usando contas recém-criadas no GitHub, que foram excluídas logo após o início da atividade. Isso sugere uma estratégia de ciclo de vida curto, projetada para evitar a detecção.
Relacionado: Solana e Base competem enquanto agentes de IA vão totalmente onchain com OpenClaw
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
