14h00 ▪
5
min de lecture ▪ par
La campagne est simple à comprendre et inquiétante dans sa mécanique. Des développeurs liés à OpenClaw ont été ciblés sur GitHub avec la promesse de 5 000 dollars en jetons $CLAW, avant d’être redirigés vers un faux site conçu pour faire connecter puis vider leurs portefeuilles crypto. OX Security a documenté l’opération, et le projet OpenClaw lui-même a fini par signaler publiquement l’arnaque.
En bref
- Une fausse distribution de 5 000 $CLAW a servi d’appât sur GitHub.
- Le but était de faire connecter puis vider des portefeuilles crypto.
- Aucune victime n’est confirmée, mais le mode opératoire marque un cap. »
Une promesse taillée pour déclencher un mauvais réflexe
Les attaquants n’ont pas lancé un piège au hasard. Ils ont créé de faux comptes GitHub, ouvert des discussions dans des dépôts qu’ils contrôlaient et mentionné des dizaines de développeurs en leur expliquant qu’ils avaient été “sélectionnés” pour recevoir une allocation de tokens. Le message flattait l’ego, imitait le langage du projet et poussait vers un lien externe.
Le faux site reprenait presque l’apparence d’openclaw.ai. La vraie différence ne sautait pas aux yeux au premier regard. Elle se trouvait dans un bouton supplémentaire, “Connect your wallet”, pensé non pas pour vérifier un airdrop, mais pour initier un vol. Dans l’univers crypto, ce petit geste reste l’un des plus risqués. Surtout quand il est provoqué par l’urgence ou la récompense facile.
Ce qui rend l’affaire plus sérieuse, c’est la couche technique derrière la vitrine. OX Security explique que le code malveillant était fortement obscurci dans un fichier JavaScript et qu’un serveur de commande distinct servait à récupérer des données puis à piloter le drainage du portefeuille connecté. On n’est donc pas face à un spam maladroit, mais à une opération préparée pour tenir quelques heures et disparaître vite.
Pourquoi OpenClaw est devenu une cible idéale
OpenClaw n’est pas un nom obscur. Le projet a connu une montée fulgurante ces derniers mois, au point d’attirer une attention bien au-delà du cercle habituel des développeurs open source. Reuters rapportait en février qu’il avait déjà dépassé les 100 000 étoiles sur GitHub et attiré 2 millions de visiteurs en une semaine, pendant que Peter Steinberger rejoignait OpenAI et que le projet passait sous une fondation open source.
Ce genre d’ascension change tout. Quand un projet devient viral, sa communauté devient aussi une base de cibles. Les chercheurs d’OX estiment d’ailleurs que les attaquants ont probablement utilisé la fonction “star” de GitHub pour repérer des profils déjà familiers d’OpenClaw. Le piège paraît alors crédible, presque personnalisé, et donc beaucoup plus dangereux qu’un message générique.
Il y a ici une leçon plus large pour la crypto. L’escroc moderne ne cherche plus seulement l’utilisateur débutant sur Telegram ou Discord. Il remonte désormais la chaîne jusqu’aux développeurs, là où la confiance technique est forte, où les clics sont rapides, et où la curiosité pour un token lié à un projet en vogue peut suffire à baisser la garde. OpenClaw a servi d’appât parfait parce qu’il combinait hype IA, visibilité GitHub et imaginaire spéculatif.
Le vrai signal pour la crypto ne se limite pas à OpenClaw
À ce stade, OX Security dit n’avoir trouvé aucune victime confirmée. Les comptes malveillants auraient été créés la semaine dernière puis supprimés quelques heures après le lancement de la campagne. Autrement dit, le bilan visible reste limité. Mais le fait important n’est pas seulement le nombre de victimes. C’est la qualité du scénario, sa rapidité et sa capacité à se fondre dans les usages normaux de GitHub.
Le détail le plus révélateur est peut-être ailleurs. Le malware suivait les actions de l’utilisateur avec des commandes dédiées, transmettait des données encodées vers son serveur C2 et intégrait même une fonction dite “nuke” pour effacer localement des traces du vol. Cette volonté d’effacer l’après-coup montre que le phishing crypto entre dans une phase plus professionnelle, moins bruyante, et donc plus difficile à repérer à chaud.
Pour le marché crypto, cette histoire rappelle une chose brutale : la prochaine vague d’arnaques ne viendra pas forcément d’un faux influenceur ou d’un memecoin douteux. Elle peut venir d’un environnement familier, d’un dépôt GitHub, d’une récompense plausible et d’un clic banal. Quand la promesse ressemble à une opportunité technique, le piège devient plus élégant. Et c’est souvent là qu’il devient plus efficace.
Maximisez votre expérience Cointribune avec notre programme ‘Read to Earn’ ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.
Fasciné par le bitcoin depuis 2017, Evariste n’a cessé de se documenter sur le sujet. Si son premier intérêt s’est porté sur le trading, il essaie désormais activement d’appréhender toutes les avancées centrées sur les cryptomonnaies. En tant que rédacteur, il aspire à fournir en permanence un travail de haute qualité qui reflète l’état du secteur dans son ensemble.
DISCLAIMER
Les propos et opinions exprimés dans cet article n’engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d’investissement.