Una estafa para vaciar carteras apunta a la comunidad de Openclaw con un airdrop falso

Se advierte a los desarrolladores de criptomonedas sobre un ataque de phishing en GitHub

La empresa de ciberseguridad OX Security informó esta semana de que había identificado la campaña, que se hace pasar por el ecosistema Openclaw y utiliza cuentas falsas de GitHub para llegar directamente a los desarrolladores.

Los atacantes publican hilos de incidencias en los repositorios y etiquetan a los usuarios, alegando que han sido seleccionados para recibir 5.000 dólares en los denominados tokens CLAW. Los mensajes dirigen a los destinatarios a un sitio web fraudulento diseñado para imitar fielmente a openclaw.ai. La diferencia clave es un mensaje de conexión de monedero que inicia una actividad maliciosa una vez aprobado.

Según los investigadores de OX Security, Moshe Siman Tov Bustan y Nir Zadok, conectar un monedero al sitio puede provocar el vaciamiento de los fondos. La campaña se basa en tácticas de ingeniería social que hacen que la oferta parezca personalizada. Los investigadores creen que los atacantes podrían estar dirigiéndose a usuarios que hayan interactuado previamente con repositorios relacionados con Openclaw, lo que aumenta la probabilidad de que interactúen.

El análisis técnico muestra que la infraestructura de phishing incluye una cadena de redireccionamientos que conduce al dominio token-claw[.]xyz, así como un servidor de comando y control alojado en watery-compost[.]today. El código malicioso incrustado en un archivo JavaScript recopila datos del monedero, incluidas direcciones y detalles de transacciones, y los transmite al atacante.

OX Security también identificó una dirección de monedero vinculada al actor malicioso que podría utilizarse para recibir los fondos robados. El código incluye funciones diseñadas para rastrear el comportamiento del usuario y borrar rastros del almacenamiento local, lo que complica la detección y el análisis forense. Aunque no se han notificado víctimas confirmadas, los investigadores advierten de que la campaña está activa y en evolución. Se recomienda a los usuarios que eviten conectar sus monederos de criptomonedas a sitios web desconocidos y que consideren sospechosas las ofertas de tokens no solicitadas en GitHub.

Además, la empresa de ciberseguridad Certik publicó ese mismo día un informe en el que se analizaban específicamente los exploits relacionados con el «skill scanning». La empresa evaluó una skill de prueba de concepto que contenía un fallo, y el componente explotado fue capaz de eludir el entorno aislado (sandbox) del sistema Openclaw. Estas novedades en materia de seguridad llegan en un momento en que Openclaw está ganando una enorme popularidad tanto entre el público general como entre los desarrolladores de criptomonedas, que están creando activamente sobre la plataforma.

Preguntas frecuentes 🔎

• ¿Qué es el ataque de phishing de Openclaw? Una estafa dirigida a desarrolladores con ofertas falsas de tokens que engañan a los usuarios para que conecten sus carteras de criptomonedas.
• ¿Cómo funciona el ataque? Se redirige a los usuarios a un sitio web clonado donde, al conectar una cartera, se activan los mecanismos de robo.
• ¿A quién va dirigido? Principalmente a los desarrolladores que interactúan con repositorios de GitHub relacionados con Openclaw.
• ¿Cómo pueden mantenerse a salvo los usuarios? Evita conectar carteras a sitios desconocidos e ignora los sorteos de tokens no solicitados.