Hackers explotan el auge de OpenClaw en GitHub para robar fondos de criptomonedas

Estafadores cripto están aprovechando la creciente visibilidad de OpenClaw para dirigirse a desarrolladores mediante una campaña coordinada de phishing en GitHub, según un informe de OX Security.

La campaña gira en torno a reclamaciones falsas de recompensas vinculadas a los tokens $CLAW y busca engañar a los usuarios para que conecten sus carteras a sitios web maliciosos.

La actividad ha surgido a medida que OpenClaw gana tracción tras cambios en la dirección y su transición a un proyecto de código abierto gestionado por una fundación.

Los investigadores afirman que los atacantes están aprovechando la actividad de desarrolladores en GitHub para que el esquema parezca creíble y personalizado.

Tácticas de ataque en GitHub

La operación de phishing se está llevando a cabo a través de repositorios controlados por los atacantes en GitHub.

Los actores maliciosos crean cuentas falsas, abren hilos de incidencias y etiquetan a gran número de desarrolladores para maximizar la visibilidad.

En un ejemplo destacado por los investigadores, se dijo a desarrolladores que habían sido seleccionados para una asignación de OpenClaw.

El mensaje afirmaba que los destinatarios habían ganado $5,000 en tokens $CLAW y los dirigía a un sitio web diseñado para imitar de cerca openclaw.ai.

Se cree que los atacantes identifican objetivos analizando la función de ‘star’ de GitHub.

Al centrarse en usuarios que han marcado con ‘estrella’ repositorios vinculados a OpenClaw, los mensajes parecen más relevantes y convincentes.

Mecanismo para drenar carteras

Una vez que los usuarios aterrizan en el sitio falso, se les solicita conectar sus carteras mediante una función “Conectar tu billetera”.

Este paso activa scripts maliciosos que permiten a los atacantes drenar fondos.

OX Security informó que las páginas de phishing incluyen JavaScript ofuscado diseñado para ocultar funciones de robo de carteras.

Se ha identificado un archivo llamado eleven.js como un componente clave del ataque.

El malware incluye una función incorporada denominada “nuke”, que borra rastros del almacenamiento local del navegador tras su ejecución.

Esto ayuda a los atacantes a evitar la detección mientras continúan monitorizando la actividad de los usuarios.

Seguimiento de datos y exfiltración

El código malicioso rastrea el comportamiento del usuario a través de una serie de comandos como PromptTx, Approved y Declined.

Estos comandos permiten a los atacantes monitorizar las interacciones en tiempo real.

Los datos codificados, incluidas direcciones de cartera y valores de transacciones, se envían a un servidor de comando y control.

Los investigadores indicaron que al menos una dirección de cartera vinculada a la campaña ya ha sido identificada como destino de fondos robados.

No se ha confirmado el número de víctimas hasta ahora. Sin embargo, la infraestructura y los métodos de segmentación sugieren que la campaña busca activamente nuevos usuarios.

OpenClaw se distancia de las criptomonedas

La campaña de phishing coincide con la creciente atención en torno a OpenClaw.

El proyecto ganó visibilidad después de que el CEO de OpenAI, Sam Altman, anunciara que el creador Peter Steinberger lideraría su impulso hacia agentes de IA personales.

A pesar de la estafa con temática cripto, Steinberger ha adoptado una postura estricta contra las criptomonedas dentro del ecosistema OpenClaw.

Cualquier mención de activos cripto en el servidor de Discord del proyecto puede resultar en expulsión.

Esta política sigue a un incidente anterior durante el rebranding de OpenClaw.

En ese momento, los estafadores promocionaron un token basado en Solana llamado $CLAWD, que alcanzó una capitalización de mercado de aproximadamente $16 millones antes de caer más del 90% después de que Steinberger negara cualquier conexión.

OX Security ha aconsejado a los usuarios bloquear dominios como token-claw[.]xyz y watery-compost[.]today y evitar conectar carteras a plataformas recién descubiertas o no verificadas.