Les attaquants exploitent le battage médiatique d’OpenClaw avec de faux parachutages « CLAW », attirant les développeurs de GitHub vers des sites de phishing qui drainent leur portefeuille.
Les acteurs malveillants exploitent activement la popularité virale d’OpenClaw pour lancer une campagne de phishing ciblant les développeurs sur GitHub avec des leurres de jetons cryptographiques gratuits.
Selon une divulgation d’OX Security, la campagne implique de faux largages de jetons « CLAW » qui promettent des milliers de dollars en récompenses. Les développeurs sont piégés dans des référentiels et des discussions GitHub malveillants, et finalement redirigés vers des sites Web clonés de manière convaincante qui les invitent à connecter leurs portefeuilles cryptographiques.
« L’acteur malveillant ouvre des problèmes dans les référentiels contrôlés par les attaquants et marque les utilisateurs de GitHub pour maximiser la visibilité et la portée », ont déclaré les chercheurs d’OX dans un article de blog. « Le site lié est un clone presque identique d’openclaw.ai, avec une différence clé : il ajoute un bouton « Connectez votre portefeuille » conçu pour lancer le vol de portefeuille. «
Les chercheurs ont déclaré que l’acteur malveillant avait créé plusieurs comptes pour la campagne et les avait tous supprimés quelques heures après le début de la campagne. L’analyse suggère qu’aucun utilisateur n’a encore été affecté par la campagne.
GitHub est utilisé pour la livraison
La campagne déplace le phishing dans les flux de travail GitHub, ce qui n’est pas très courant. Les attaquants ont créé ou détourné des référentiels, les ont ensemencés de contenu attrayant et ont amplifié leur portée en marquant les développeurs ou en engageant des discussions pour améliorer la visibilité.
La campagne utilise une couche d’ingénierie sociale, qui comprend des problèmes d’apparence légitime, des demandes d’extraction et des mentions de dépôt, pour contourner les soupçons. GitHub a probablement été choisi pour exploiter la confiance des développeurs, car ils sont plus susceptibles de cliquer sur un leurre diffusé dans un environnement familier.
Les victimes sont d’abord attirées via des problèmes GitHub indiquant : « Appréciez vos contributions sur GitHub. Nous avons analysé les profils et choisi les développeurs pour obtenir l’allocation OpenClaw. » Le message est présenté comme un cadeau à durée limitée de 5 000 $ de jetons CLAW, leur demandant de collecter les jetons en visitant le site malveillant. « Nous estimons que les attaquants pourraient utiliser la fonctionnalité vedette de GitHub pour identifier les utilisateurs qui ont mis en vedette les référentiels liés à OpenClaw et les cibler spécifiquement, rendant la campagne de phishing plus crédible et plus pertinente pour les destinataires », ont ajouté les chercheurs.
CLAW n’est pas un jeton légitime et est présenté comme un nouveau lancement dans le récit de l’arnaque. En fait, le développeur d’OpenClaw, Peter Steinberger, a explicitement déclaré dans le passé que le projet n’émettrait jamais de jetons et que toute affirmation contraire était une arnaque.
Code malveillant intelligent et dissimulé
Selon OX, le code malveillant de phishing et de vol de portefeuille est « hautement obscurci » et réside dans le fichier JavaScript « oneleven.js » du référentiel.
L’acteur malveillant a utilisé « watery-compost(.)aujourd’hui » pour héberger un serveur C2 afin de collecter des informations (y compris l’adresse du portefeuille, la valeur de la transaction et le nom) et de vider les portefeuilles une fois connectés. Les commandes utilisées par le C2 incluent PromtTx, Approuvé et Refusé. De plus, le code du malware inclut une fonction « nucléaire » qui supprime les informations de vol de portefeuille du stockage local du navigateur pour éviter la détection et l’investigation, ont ajouté les chercheurs.
L’adresse « 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5 » a été extraite du code et identifiée comme étant le portefeuille de l’acteur malveillant utilisé pour recevoir la cryptomonnaie volée. La page de phishing (« token-claw(.)xyz ») prendrait en charge plusieurs portefeuilles cryptographiques, notamment WalletConnect, MetaMask, Trust Wallet, OKX Wallet et Bybit Wallet.
Les chercheurs d’OX ont recommandé de bloquer le domaine de phishing de tous les environnements, de s’abstenir de connecter des portefeuilles cryptographiques à des sites Web non fiables et de traiter les problèmes de distribution de jetons provenant de sources inconnues comme suspects. Les utilisateurs doivent également examiner toutes les connexions de portefeuille récentes associées à la campagne et révoquer immédiatement toutes les approbations pour rester protégés.
