we are developers

iMaster Developers

iMaster DevelopersPowered by:

Tech & Inovação

6 abr, 2026

Sua estrela no GitHub virou isca: o golpe que está caçando devs do OpenClaw

Redação iMasters

Redação iMasters
Publicidade

Atacantes usaram o próprio sistema de stars do GitHub para identificar e enganar contribuidores com um airdrop falso de $5.000, e o malware apagava os rastros sozinho.

Você foi “selecionado”. Cuidado.

Se você deu star em algum repositório relacionado ao OpenClaw nas últimas semanas, pode ter recebido uma issue no GitHub de uma conta desconhecida com uma mensagem sedutora: “Analisamos seu perfil e você foi escolhido para receber uma alocação de $CLAW.”

Parece específico. Parece legítimo. Foi exatamente isso que os atacantes calcularam.

A plataforma de segurança OX Security publicou um relatório detalhando uma campanha de phishing cirúrgica que usou o próprio mecanismo de star do GitHub como sistema de targeting, identificando e abordando desenvolvedores que demonstraram interesse público no projeto. O resultado: centenas de devs receberam uma mensagem personalizada prometendo $5.000 em tokens $CLAW.

Por que o OpenClaw? Porque 323 mil estrelas atraem muito mais que admiradores

O OpenClaw não caiu no radar dos golpistas por acidente. O framework de agente de IA auto-hospedado explodiu em visibilidade depois que Sam Altman anunciou que seu criador, Peter Steinberger, lideraria os esforços da OpenAI em agentes de IA pessoais.

Com 323.000 stars no GitHub, o projeto reuniu uma das comunidades de desenvolvedores mais identificáveis e ativas do espaço de IA hoje. Alta visibilidade, base técnica sofisticada, contexto de cripto já presente no radar da comunidade, é o alvo perfeito para engenharia social direcionada.

Steinberger já havia relatado spam de cripto inundando o Discord do projeto “a cada meia hora”, chegando a banir qualquer discussão relacionada a moedas. A comunidade já estava sendo testada antes mesmo desse ataque.

O clone quase perfeito, com um botão a mais

O link na mensagem levava para token-claw[.]xyz: um clone visual quase idêntico ao site oficial openclaw.ai. A única diferença visível? Um botão de “Conectar sua carteira” recém-adicionado.

Assim que o desenvolvedor conectava a carteira, o ataque começava.

Dentro do eleven.js: uma função chamada “nuke”

A OX Security dissecou o JavaScript do site falso e encontrou a carga maliciosa escondida dentro de um arquivo altamente ofuscado chamado eleven.js. Após desofuscação, o código revelou:

  • Uma lógica completa de drenagem de carteira

  • Rastreamento de interações da vítima via comandos PromptTx, Approved e Declined

  • Envio de dados codificados (endereços de carteira, valores, nomes de conta) para um servidor C2

  • Uma função batizada de nuke : que, ao terminar a operação, apagava todos os dados do localStorage do navegador para dificultar investigações forenses

O endereço de carteira atribuído ao atacante (0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5) foi identificado, mas ainda não havia movimentado fundos no momento da reportagem.

Rápidos e descartáveis: as contas sumiram em horas

As contas fraudulentas foram criadas na semana passada e deletadas poucas horas após o disparo da campanha, antes mesmo que o GitHub pudesse agir formalmente. Nenhuma vítima confirmada foi reportada até agora, mas o vetor já estava ativo e operante.

O pesquisador Moshe Siman Tov Bustan, da OX Security, apontou semelhanças com um ataque anterior no GitHub que visava usuários de Solana, embora a relação exata entre as campanhas ainda esteja sendo investigada.

Se você conectou uma carteira: aja agora

Revogue todas as aprovações de carteira imediatamente se você interagiu com qualquer site prometendo airdrops de tokens CLAW.

Bloqueie os domínios token-claw[.]xyz e watery-compost[.]today em todos os seus ambientes. Trate qualquer issue de conta desconhecida prometendo tokens como suspeita por padrão, independentemente de quão personalizada ou legítima pareça.

O que muda daqui pra frente

O OpenClaw foi transicionado para um projeto open-source gerenciado por uma fundação. A base de contribuidores só vai crescer, e com ela, a superfície de ataque para esse tipo de engenharia social direcionada.

A lição aqui não é técnica. É comportamental: nenhum projeto legítimo vai te notificar de uma alocação de token através de uma issue no GitHub de uma conta que você nunca viu antes. Se parece bom demais para ser verdade e chegou por um canal inusitado, é isca.

Stars públicas são dados públicos. E agora você sabe que alguém está usando isso contra você.

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters e no Instagram/Threads @portalimasters