Truffa di phishing su GitHub firmata OpenClaw usa falsi airdrop di token da $5.000 per mettere le mani sui wallet

La community di sviluppatori su GitHub collegata al progetto OpenClaw è stata presa di mira da una campagna di phishing che prometteva falsi regali di token per indurre le vittime a collegare i propri portafogli crittografici, consentendo poi il prelievo non autorizzato dei fondi.

Secondo una segnalazione della società di sicurezza informatica OX Security, con sede a Tel Aviv, gli aggressori hanno creato account fasulli su GitHub e hanno taggato gli sviluppatori in thread di issue, sostenendo che erano stati selezionati per ricevere l’equivalente di circa 5.000 dollari in token CLAW.

I messaggi contenevano link a una copia quasi identica del sito ufficiale di OpenClaw, ma con un elemento cruciale in più: la richiesta di collegare un portafoglio crittografico. Una volta stabilita la connessione, codice malevolo può innescare transazioni o approvazioni automatiche che permettono agli attaccanti di drenare i fondi.

La pagina truffa supportava portafogli diffusi come MetaMask, WalletConnect e Trust Wallet, ampliando il potenziale impatto della frode.

Meccanismo dell’attacco e metodo di ingegneria sociale

L’operazione sfrutta una combinazione di ingegneria sociale e richieste di connessione al portafoglio, spesso mascherate da airdrop o ricompense per sviluppatori. Se gli attaccanti mirano a utenti che hanno già interagito con repository legati a OpenClaw, il messaggio appare più credibile e la probabilità di successo aumenta.

Questo tipo di attacco evidenzia un vettore sempre più comune nel mondo delle criptovalute: non sono tanto le vulnerabilità tecniche del codice a essere sfruttate, quanto la capacità di indurre l’utente a compiere azioni pericolose (ad esempio firmare transazioni o approvare permessi).

Contesto del progetto e reazioni

OpenClaw è un framework open source per agenti basati su intelligenza artificiale e strumenti per sviluppatori che negli ultimi mesi ha attirato attenzione anche a causa di frodi che hanno sfruttato il suo nome. La visibilità del progetto lo rende un bersaglio appetibile per chi organizza scam legati alle criptovalute.

Peter Steinberger ha reagito alle truffe imponendo restrizioni nelle comunicazioni del progetto e commentando pubblicamente la difficoltà di contrastare gli abusi.

Peter Steinberger ha detto:

“Non immaginavo che non fossero soltanto bravi nelle molestie: sono anche molto efficaci nell’usare script e strumenti.”

In seguito a episodi precedenti, in cui account datati del progetto erano stati compromessi e una moneta fasulla denominata CLAWD aveva temporaneamente raggiunto una capitalizzazione significativa prima di crollare, Steinberger ha vietato riferimenti alle criptovalute nei canali ufficiali come Discord per limitare la diffusione di messaggi ingannevoli.

Implicazioni per sviluppatori e piattaforme

La vicenda sottolinea la responsabilità condivisa tra sviluppatori, piattaforme di hosting come GitHub e servizi di portafoglio: i progetti open source devono adottare pratiche di difesa (domini verificati, comunicazioni ufficiali certificate, processi di recupero) mentre le piattaforme dovrebbero migliorare il rilevamento di account falsi e notificare tempestivamente gli utenti colpiti.

Gli attacchi di questo tipo possono avere impatti economici diretti sulle vittime e costi reputazionali per i progetti che vengono sfruttati come esca, oltre a sollevare interrogativi sulla governance e sulla sicurezza nell’ecosistema delle cripto e del software open source.

Come ridurre il rischio: raccomandazioni pratiche

Per limitare l’esposizione alle truffe legate al collegamento dei portafogli si consigliano alcune precauzioni pratiche e strumenti di difesa che possono essere adottati sia dagli sviluppatori sia dagli utenti:

Verificare sempre l’URL del sito e le comunicazioni ufficiali del progetto prima di effettuare qualsiasi connessione del portafoglio; diffidare di messaggi non richiesti che promettono airdrop o ricompense.

Non collegare il portafoglio a siti o dApp non verificati. Quando possibile, usare portafogli hardware per firmare transazioni sensibili e separare i fondi usati per sviluppo o test da quelli con valore reale.

Controllare e revocare permessi sospetti con strumenti affidabili che mostrano le approvazioni di token e le transazioni firmate, e aggiornare periodicamente le credenziali e i metodi di autenticazione a due fattori.

Per i progetti open source è importante comunicare chiaramente i canali ufficiali, segnalare tempestivamente eventuali compromissioni e fornire linee guida agli utenti su come riconoscere truffe correlate al progetto.

Infine, collaborazione tra comunità di sviluppatori, società di cybersecurity come OX Security e piattaforme di hosting può aiutare a migliorare i sistemi di rilevamento e risposta, riducendo l’efficacia di campagne di phishing simili in futuro.