Golpe que esvazia carteiras tem como alvo a comunidade Openclaw com um airdrop falso

Desenvolvedores de criptomoedas alertados sobre ataque de phishing no GitHub

A empresa de segurança cibernética OX Security informou esta semana que identificou a campanha, que se faz passar pelo ecossistema Openclaw e usa contas falsas no Github para entrar em contato diretamente com os desenvolvedores.

Os invasores publicam tópicos de discussão em repositórios e marcam usuários, alegando que eles foram selecionados para receber US$ 5.000 em tokens chamados CLAW. As mensagens direcionam os destinatários a um site fraudulento projetado para imitar de perto o openclaw.ai. A principal diferença é um prompt de conexão de carteira que inicia atividades maliciosas assim que aprovado.

De acordo com os pesquisadores da OX Security, Moshe Siman Tov Bustan e Nir Zadok, conectar uma carteira ao site pode resultar no esvaziamento dos fundos. A campanha se baseia em táticas de engenharia social que fazem a oferta parecer personalizada. Os pesquisadores acreditam que os invasores podem estar visando usuários que interagiram anteriormente com repositórios relacionados ao Openclaw, aumentando a probabilidade de engajamento.

A análise técnica mostra que a infraestrutura de phishing inclui uma cadeia de redirecionamento que leva ao domínio token-claw[.]xyz, bem como um servidor de comando e controle hospedado em watery-compost[.]today. Um código malicioso incorporado a um arquivo JavaScript coleta dados da carteira, incluindo endereços e detalhes de transações, e os transmite ao invasor.

A OX Security também identificou um endereço de carteira vinculado ao agente da ameaça que pode ser usado para receber fundos roubados. O código inclui funções projetadas para rastrear o comportamento do usuário e apagar rastros do armazenamento local, complicando a detecção e a análise forense.

Embora nenhuma vítima confirmada tenha sido relatada, os pesquisadores alertam que a campanha está ativa e em evolução. Recomenda-se que os usuários evitem conectar carteiras de criptomoedas a sites desconhecidos e tratem ofertas não solicitadas de tokens no Github como suspeitas.

Além disso, a empresa de segurança cibernética Certik publicou um relatório no mesmo dia discutindo especificamente as vulnerabilidades relacionadas à “skill scanning”. A empresa avaliou uma skill de prova de conceito que continha uma falha, e o componente explorado foi capaz de contornar a sandbox do sistema Openclaw.

Esses desenvolvimentos de segurança surgem no momento em que o Openclaw ganha enorme popularidade tanto entre o público em geral quanto entre desenvolvedores de criptomoedas, que estão ativamente construindo na plataforma.

Perguntas frequentes 🔎

• O que é o ataque de phishing do Openclaw?
  Um golpe direcionado a desenvolvedores com ofertas falsas de tokens que induzem os usuários a conectar carteiras de criptomoedas.
• Como funciona o ataque?
  Os usuários são direcionados a um site clonado onde a conexão de uma carteira ativa mecanismos de roubo.
• Quem é o alvo?
  Principalmente desenvolvedores que interagem com repositórios do GitHub relacionados ao Openclaw.
• Como os usuários podem se proteger?
  Evite conectar carteiras a sites desconhecidos e ignore ofertas não solicitadas de tokens.