Preiscriviti ora al corso Ethical Hacker! Scopri di più
Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Airdrop OpenClaw su GitHub: phishing virale svuota i wallet crypto degli sviluppatori
Una nuova campagna di phishing su GitHub sta sfruttando la popolarità virale di OpenClaw per colpire sviluppatori e prosciugare wallet crypto. Il meccanismo è semplice ma efficace: i criminali promettono un airdrop di token CLAW con ricompense elevate e usano l’ambiente familiare di GitHub per aumentare la fiducia e ridurre i sospetti.
Gli attaccanti aprono issue in repository controllati o compromessi e taggano utenti GitHub per massimizzare visibilità e portata. Il messaggio è costruito con tecniche di social engineering e spesso appare come un riconoscimento per contributi reali, con frasi che invitano a riscattare un presunto premio limitato nel tempo. In alcuni casi viene suggerito un valore di migliaia di dollari, rendendo l’esca ancora più credibile per chi segue progetti legati al mondo crypto.
Dopo il primo contatto su GitHub, le vittime vengono indirizzate verso siti clonati che imitano in modo convincente il dominio ufficiale del progetto. La differenza chiave è la presenza di un pulsante per collegare il wallet. Una volta connesso, lo script avvia la procedura di furto, tipicamente tramite richieste di approvazione o transazioni mascherate. La campagna prende di mira anche utenti selezionati in base a segnali pubblici come le star su repository collegati a OpenClaw, così da personalizzare il bersaglio e aumentare la probabilità di clic.
Dal punto di vista tecnico, il codice malevolo risulta offuscato e inserito in file JavaScript all’interno dei repository, rendendo più difficile individuare rapidamente la logica di wallet draining. Viene inoltre utilizzata un’infrastruttura di comando e controllo per raccogliere informazioni come indirizzo del wallet e valore della transazione e per impartire comandi legati al flusso di approvazione. Una funzione di pulizia può cancellare tracce dal local storage del browser per ostacolare analisi e forensics.
Per ridurre il rischio, è fondamentale bloccare i domini di phishing a livello aziendale, evitare di collegare wallet a siti non verificati e trattare come sospette le issue che promettono token gratuiti. Utile anche controllare le connessioni recenti del wallet e revocare immediatamente eventuali approvazioni non necessarie.