Close Menu
    Subscribe
    Actu Crypto

    Un code invisible sème la terreur sur GitHub et menace des milliers de portefeuilles crypto

    Tricia BukiliBy Aucun commentaire4 Mins Read
    Un code dissimulé, indétectable à l'œil nu. Des portefeuilles crypto vidés en silence
    Un code invisible sème la terreur sur GitHub et menace des milliers de portefeuilles crypto

    Des centaines de dépôts GitHub compromis. Un code dissimulé, indétectable à l’œil nu. Des portefeuilles crypto vidés en silence. Derrière cette offensive, une campagne de phishing méthodique qui exploite la notoriété d’OpenClaw pour piéger des développeurs ciblés avec chirurgie. La plateforme de sécurité OX Security a levé le voile sur une infrastructure malveillante conçue pour frapper vite, voler proprement, et disparaître sans laisser de traces.

    En Bref

    • Les attaquants exploitent GitHub pour identifier et piéger des développeurs liés à OpenClaw.
    • Le code s’auto-efface après le vol pour bloquer toute enquête forensique.
    • La campagne a été détectée et stoppée rapidement grâce à OX Security.

    La notoriété d’OpenClaw, nouvelle arme des escrocs dans le secteur crypto

    Le succès attire les loups. Depuis qu’OpenAI a propulsé OpenClaw sous les projecteurs en confiant à son créateur, Peter Steinberger, le développement de ses agents d’IA personnels, ce projet open-source est devenu bien plus qu’un framework : il est désormais un appât.

    Des cybercriminels ont flairé l’opportunité. Plutôt que d’attaquer frontalement, ils infiltrent l’écosystème par sa porte d’entrée naturelle : GitHub. Leur tactique repose sur une mécanique trompeusement banale,ouvrir des tickets dans des dépôts factices, mentionner des développeurs actifs, et se faire passer pour l’équipe officielle du projet. Le message est flatteur, personnalisé, presque convaincant : vous avez été sélectionné parmi les contributeurs méritants.

    Ce qui rend cette arnaque particulièrement redoutable, c’est son ciblage chirurgical. Selon les chercheurs d’OX Security, qui ont publié un rapport détaillé mercredi, les attaquants ne visent pas au hasard : ils exploitent la fonction « étoile » de GitHub pour dresser une liste précise des développeurs ayant mis en favori des dépôts liés à OpenClaw. Chaque victime potentielle reçoit un message taillé sur mesure, difficile à distinguer d’une vraie communication officielle.

    Le timing de l’attaque n’est pas un hasard non plus. Lancer une telle campagne juste après une annonce retentissante d’OpenAI, c’est surfer sur une vague médiatique pour maximiser la crédibilité du piège. Les escrocs lisent l’actualité et s’en servent.

    Derrière le faux site, un malware conçu pour disparaître

    Une fois ferré, le développeur atterrit sur une réplique quasi parfaite d’openclaw.ai. Presque identique à l’originale, à un détail près : un bouton discret, « Connectez votre portefeuille crypto », absent du vrai site. Ce clic, anodin en apparence, déclenche une mécanique de vol invisible et silencieuse.

    Le code malveillant, dissimulé dans un fichier JavaScript nommé « eleven.js », est conçu pour ne laisser aucune trace exploitable. Après désobfuscation, les chercheurs d’OX Security ont mis au jour une architecture étonnamment sophistiquée. Le malware enregistre ainsi chaque geste de l’utilisateur et exfiltre en temps réel les données sensibles vers un serveur externe. Adresses de portefeuille, montants, identifiants : tout part, encodé, sans que la victime ne s’en aperçoive.

    Mais le détail le plus révélateur reste ce que les chercheurs ont baptisé la fonction « nucléaire » : une routine automatique qui efface l’intégralité des données collectées du stockage local du navigateur sitôt l’opération terminée. Pas de forensique possible. Pas de preuves tangibles. Une attaque conçue pour s’auto-détruire.

    Malgré ce niveau de sophistication, les enquêteurs ont tout de même remonté une piste concrète : une adresse crypto, 0x6981E9EA7023…, directement attribuée à l’auteur de la menace. Au moment du rapport, cette adresse n’avait encore enregistré aucun mouvement de fonds, ce qui suggère que la campagne a peut-être été neutralisée avant de faire ses premières victimes.

    Par ailleurs, les comptes GitHub frauduleux, créés puis supprimés en moins de 24 heures, confirment que les attaquants opèrent vite, proprement, et en sachant effacer leurs traces.

    Au-delà de l’incident lui-même, cette campagne envoie un signal clair : les développeurs ne sont plus à l’abri. Longtemps perçus comme trop techniques pour tomber dans ce type de piège, ils deviennent ainsi des cibles privilégiées, précisément parce qu’ils gèrent des portefeuilles actifs et font naturellement confiance à leur environnement de travail habituel. GitHub, outil du quotidien pour des millions de développeurs, se transforme désormais en véritable terrain de chasse.

    Share.

    Passionnée par l’évolution technologique, j’ai découvert l’univers du Bitcoin et de la blockchain dès 2020, un écosystème dont la nature décentralisée a immédiatement fait écho à ma vision d’un monde plus autonome. Forte d’une expertise progressive acquise à travers une veille constante, l’analyse des marchés crypto et la compréhension des mécanismes on-chain, je mets aujourd’hui mes compétences au service de la vulgarisation et de l’éducation financière. Mon objectif est de rendre ces technologies accessibles, fiables et compréhensibles, convaincue qu’elles constituent un levier majeur de souveraineté financière et un outil essentiel pour reprendre le contrôle de son avenir économique.

    Related Posts