Una nueva campaña de phishing está poniendo en riesgo a los desarrolladores de criptomonedas al explotar la popularidad de Openclaw, una plataforma preferida por los colaboradores de código abierto. La firma de ciberseguridad OX Security ha dado la alarma, advirtiendo que los actores de amenazas están suplantando el ecosistema de Openclaw a través de cuentas falsas de Github, apuntando directamente a los usuarios que están activos en proyectos de código abierto. El enfoque de la campaña en desarrolladores comprometidos y su sofisticada imitación han generado preocupaciones en toda la industria.
El Ataque de Phishing Promete Tokens Falsos para Atraer Víctimas
Los atacantes operan abriendo hilos de “issues” en los repositorios de Github, etiquetando a los usuarios y afirmando falsamente que han ganado $5,000 en un supuesto token CLAW. Los mensajes engañosos contienen enlaces que dirigen a las víctimas a un sitio web falso diseñado para imitar de cerca el verdadero portal openclaw.ai. Cuando los usuarios son incitados en esta página fraudulenta a conectar sus billeteras de criptomonedas y cumplir con las instrucciones, se desatan una serie de transacciones maliciosas.
Conexión de Billetera Deja Activos de Usuario Vulnerables
El análisis técnico realizado por los investigadores de OX Security, Moshe Siman Tov Bustan y Nir Zadok, reveló que una vez que los desarrolladores conectan sus billeteras según lo indicado, sus activos pueden ser drenados rápidamente. La campaña emplea tácticas de ingeniería social diseñadas para personalizar la interacción, haciéndola parecer especialmente creíble para aquellos que anteriormente han interactuado con repositorios relacionados con Openclaw. Esta individualización aumenta la probabilidad de éxito para los atacantes.
Infraestructura y Código Malicioso Expuestos
Profundizando más, los expertos técnicos descubrieron una infraestructura de ataque compleja. Las víctimas son redirigidas al dominio token-claw[.]xyz, mientras que un servidor de mando y control se establece en watery-compost[.]today para gestionar la campaña. El JavaScript malicioso incrustado en el sitio cosecha datos sensibles como direcciones de billeteras y detalles de transacciones y los transmite de vuelta a los atacantes.
Los investigadores identificaron una dirección de billetera de criptomonedas probablemente asociada con el atacante. También notaron que el código malicioso rastrea acciones del usuario y borra el almacenamiento local, dificultando significativamente que los investigadores rastreen la operación.
Aunque no ha habido víctimas confirmadas hasta ahora, los informes sugieren que la campaña de phishing sigue activa. Los expertos en seguridad advierten fuertemente a las personas que no conecten sus billeteras de criptomonedas a sitios web desconocidos y sean escépticos de ofertas de tokens no solicitadas en Github, sin importar cuán atractivas puedan parecer.
Mientras tanto, un informe separado de Certik llamó la atención sobre las vulnerabilidades de “escaneo de habilidades” dentro del ecosistema Openclaw. Las aplicaciones de muestra analizadas mostraron que estas fallas podrían eludir las capas de seguridad establecidas, haciendo que la explotación sea factible, explicó Certik en su informe.
Openclaw ha ganado popularidad recientemente entre los desarrolladores por sus sistemas de agentes impulsados por IA. A medida que la comunidad en torno a estas plataformas crece rápidamente, su creciente atractivo también los convierte en objetivos principales para ataques cibernéticos sofisticados.
