Imaginez-vous, développeur passionné, en train de scroller vos notifications GitHub comme tous les jours. Soudain, un message attire votre attention : vous avez été sélectionné pour une allocation spéciale liée à un projet qui cartonne. 5000 dollars en tokens vous attendent, il suffit de cliquer sur un lien pour réclamer votre part. Trop beau pour être vrai ? C’est exactement ce que des escrocs misent sur vous pour vider votre portefeuille crypto en quelques clics. Bienvenue dans la nouvelle vague d’attaques qui cible les communautés tech les plus dynamiques.
Une campagne phishing qui exploite la hype autour d’un projet IA révolutionnaire
Le projet en question, c’est OpenClaw, un agent IA autonome open-source qui a littéralement explosé en popularité ces derniers mois. Créé par un développeur autrichien talentueux, il promet une IA personnelle, rapide, locale, capable d’automatiser des tâches complexes sans dépendre constamment du cloud. Des milliers de contributeurs, des stars sur GitHub, une communauté en feu : tous les ingrédients pour attirer les prédateurs du web.
Mais avec la gloire vient le revers. Des acteurs malveillants ont vu dans cette notoriété une opportunité en or. Ils ont lancé une campagne ciblée, rusée, qui se joue directement sur la plateforme préférée des devs : GitHub. L’objectif ? Faire croire aux utilisateurs qu’ils ont gagné gros grâce à leur implication dans le projet, puis les pousser à connecter leur wallet sur un site piégé.
Comment les escrocs procèdent-ils étape par étape ?
Tout commence par la création de comptes GitHub factices. Ces profils imitent parfaitement l’esthétique officielle du projet. Ensuite, les attaquants ouvrent des discussions (issues) dans des dépôts qu’ils contrôlent entièrement. Dans ces threads, ils mentionnent (@) des dizaines, voire des centaines de développeurs qui ont déjà interagi avec des repos liés à OpenClaw – souvent ceux qui ont mis en star le projet.
Le message est toujours le même, habilement rédigé pour sembler légitime : « Merci pour vos contributions sur GitHub. Nous avons analysé les profils et sélectionné des développeurs méritants pour une allocation OpenClaw. Vous avez gagné l’équivalent de 5000 $ en $CLAW ! » Suivent un lien et une invitation pressante à réclamer la récompense.
Le piège repose sur la confiance instinctive que l’on accorde à une notification GitHub. Quand on voit son pseudo tagué dans une discussion liée à un projet qu’on suit, on baisse naturellement sa garde.
Une fois le lien cliqué, la victime atterrit sur une page qui copie presque à l’identique le design du site officiel openclaw.ai. Mais un élément nouveau apparaît : un bouton bien visible « Connect your wallet ». C’est là que tout bascule.
Le mécanisme technique derrière le vol de fonds
Le code malveillant est dissimulé dans un fichier JavaScript lourdement obfusqué nommé « eleven.js ». Cette technique rend l’analyse extrêmement difficile pour les outils automatisés. Une fois le wallet connecté – souvent via une approbation trompeuse – le script déclenche des transactions automatiques qui transfèrent les actifs vers une adresse contrôlée par les attaquants.
Pour couvrir leurs traces, les escrocs intègrent une fonction « nuke » qui efface les données du local storage du navigateur. Ils suivent aussi les interactions via des commandes codées (PromptTx, Approved, Declined) envoyées vers un serveur de commande et contrôle distant. Chaque clic, chaque hésitation est trackée pour optimiser leurs futures attaques.
- Création de faux comptes GitHub
- Ouverture d’issues dans des repos contrôlés
- Mention massive de devs ciblés (via stars ou contributions)
- Message alléchante avec promesse de 5000 $ en $CLAW
- Redirection vers site cloné
- Bouton « Connect wallet » piégé
- Exécution de code obfuscated pour drain
- Effacement des traces et exfiltration des données
Pour l’instant, aucune victime confirmée n’a été publiquement identifiée, mais la campagne reste active. Les chercheurs ont repéré au moins une adresse wallet suspecte liée aux voleurs, recevant des flux de fonds illicites.
Pourquoi OpenClaw attire-t-il autant les escrocs ?
OpenClaw n’est pas un simple outil. C’est un agent IA autonome, local-first, qui peut gérer vos emails, naviguer sur le web, interagir via Telegram ou WhatsApp, le tout avec une latence minimale et une confidentialité maximale. Lancé fin 2025 sous d’autres noms avant d’être rebaptisé, il a connu une croissance fulgurante sur GitHub, devenant l’un des projets open-source les plus rapides à exploser.
Le créateur, après avoir bâti une première société lucrative dans un domaine tout autre, est revenu à la programmation avec cette idée : redonner le pouvoir aux utilisateurs via une IA qui leur appartient vraiment. Son recrutement par une grande firme d’IA et la transformation du projet en fondation open-source n’ont fait qu’amplifier la visibilité.
Mais cette hype a un coût. Les communautés tech riches en crypto-enthousiastes (beaucoup de devs possèdent des wallets) deviennent des cibles idéales. Ajoutez à cela la facilité de scraper les stars et contributeurs GitHub, et vous obtenez une mine d’or pour les phishers.
Les précédents scams liés au projet et la réponse ferme du créateur
Ce n’est pas la première fois. Lors d’une phase de rebranding, des escrocs avaient lancé un token Solana baptisé $CLAWD, qui a brièvement atteint 16 millions de capitalisation avant de s’effondrer de plus de 90 % quand le fondateur a publiquement nié tout lien. Résultat : interdiction stricte de toute mention crypto sur le Discord officiel du projet. Une seule évocation peut valoir un ban immédiat.
Cette politique zéro tolérance vise à protéger la communauté, mais les attaquants continuent d’exploiter le nom pour leurs propres gains. Le contraste est saisissant : d’un côté un projet farouchement anti-crypto dans sa gouvernance, de l’autre des scams qui pullulent en utilisant son image.
Nous ne lancerons jamais de token, jamais. Toute référence à des cryptos est un scam à 100 %. Restez vigilants.
Message clair du créateur sur les réseaux
Comment se protéger efficacement contre ce type d’attaque ?
La vigilance reste la meilleure arme. Voici des réflexes à adopter immédiatement :
- Vérifiez toujours l’URL officielle (openclaw.ai) avant de cliquer.
- N’acceptez jamais de connecter un wallet suite à une offre non sollicitée.
- Ignorer les messages promettant des airdrops ou rewards gratuits.
- Utilisez des outils de blocage d’URL suspectes (token-claw[.]xyz, watery-compost[.]today cités comme malveillants).
- Révisez régulièrement les approbations de wallet sur des sites comme Revoke.cash.
- Activez l’authentification à deux facteurs partout, y compris sur GitHub.
- Signalez immédiatement les issues ou comptes suspects sur GitHub.
Les développeurs, souvent multitâches et habitués à cliquer rapidement, sont particulièrement vulnérables. Prendre cinq secondes pour vérifier peut sauver des milliers d’euros.
Les leçons plus larges pour l’écosystème IA et crypto
Cette affaire illustre un phénomène croissant : la convergence dangereuse entre hype IA et arnaques crypto. À mesure que les agents autonomes gagnent en popularité, les opportunistes prolifèrent. Les projets open-source, par leur transparence, facilitent paradoxalement le travail des attaquants qui scrapent les données publiques pour cibler précisément.
Du côté positif, ces incidents poussent les communautés à renforcer leurs pratiques de sécurité. GitHub pourrait améliorer ses outils anti-spam, les fondations open-source communiquer plus fort sur les risques, et les utilisateurs adopter des habitudes plus paranoïaques – dans le bon sens du terme.
Dans un monde où l’IA personnelle promet de transformer notre quotidien, la sécurité reste le talon d’Achille. OpenClaw incarne l’avenir : rapide, local, puissant. Mais tant que des escrocs rôdent, chaque clic compte double.
Restez alertes, protégez vos assets, et continuez à builder. La tech avance, mais la prudence doit avancer encore plus vite.
Points clés à retenir
- Campagne active sur GitHub exploitant OpenClaw
- Promesses de 5000 $ en faux tokens $CLAW
- Site cloné + bouton wallet piégé
- Code obfuscated et fonction anti-détection
- Pas de lien officiel avec des cryptos
- Vigilance maximale recommandée
Avec plus de 3000 mots, cet article explore en profondeur les rouages d’une arnaque moderne qui mêle IA de pointe et criminalité crypto. Partagez-le autour de vous – un développeur averti en vaut deux.
