Gli sviluppatori di OpenClaw colpiti da un attacco phishing su GitHub

Key Takeaways

• Gli sviluppatori di OpenClaw sono stati presi di mira in un sofisticato attacco di phishing su GitHub.
• Gli aggressori hanno creato falsi account GitHub e falsi airdrop per attirare gli sviluppatori.
• Una pagina clone accuratamente costruita imitava il sito ufficiale di OpenClaw, inducendo i visitatori a connettere i propri portafogli crittografici.
• L’attacco utilizzava un codice JavaScript complesso per sottrarre fondi da portafogli collegati.

WEEX Crypto News, 19 Marzo 2026

Introduzione

Recentemente, si è verificato un complesso attacco di phishing che ha preso di mira gli sviluppatori del progetto AI OpenClaw. Il tentativo fraudolento ha sfruttato GitHub per ingannare i collaboratori e sottrarre fondi dai loro portafogli crittografici. Quest’attacco è stato scoperto da OX Security, che ha identificato una campagna attiva che cercava di sfruttare il nome di OpenClaw attraverso promesse di token CLAW gratuiti.

Dettagli dell’Attacco

Creazione di Falsi Account e Siti Cloni

Gli aggressori hanno fondato falsi account su GitHub per aprire discussioni in repository controllati da loro, attirando numerosi sviluppatori. Una delle tecniche principali utilizzate è stata quella di segnalare che i destinatari erano stati selezionati per ricevere un airdrop di $5,000 in token CLAW. Gli sviluppatori venivano quindi reindirizzati a un sito web clone di openclaw.ai, che presentava un pulsante “Connetti Portafoglio” non presente sull’originale.

Uso di JavaScript Offuscato

Il sito clone contenente un file JavaScript pesantemente offuscato includeva una funzione “nuke”, progettata per cancellare la memoria locale del browser, impedendo così l’analisi forense. Inoltre, il codice acquisiva e inviava informazioni, come indirizzi di portafoglio e valori delle transazioni, a un server di comando e controllo (C2).

Misure Difensive

OX Security ha messo in evidenza come questi attacchi sfruttino l’infrastruttura legittima di GitHub e Google, rendendo difficile il rilevamento attraverso i normali filtri di sicurezza email come SPF e DKIM. Pertanto, gli sviluppatori e gli utenti devono essere vigilanti e diffidare di qualsiasi richiesta inusuale di connessione di portafogli digitali.

Conseguenze e Riflessioni

L’attacco non ha ancora identificato vittime confermate, ma la sua sofisticazione sottolinea la necessità di maggiori livelli di cautela da parte di chi segue progetti open-source molto visibili come OpenClaw. La comunità Discord di OpenClaw, ad esempio, è stata precedentemente investita