Unos hackers crearon un bot de trading falso para los mercados de predicción de Polymarket en GitHub. El bot se utilizó para propagar malware que robadentcomo claves de monederos y contraseñas de navegador.
Se detectaron 30 paquetes maliciosos en varias cuentas de npm, que al parecer tenían como objetivo a desarrolladores y operadores que utilizan estrategias automatizadas. Al menos 53 desarrolladores cayeron en la trampa antes de que se detectara.
El 1 de julio de 2026, la empresa de seguridad SlowMist detectó un bot de trading falso que prometía grandes ganancias en Polymarket, pero que en realidad era un vehículo para distribuir malware. SafeDep encontró 30 paquetes npm maliciosos distribuidos en varias cuentas y vinculados a un repositorio falso de GitHub.
Los delincuentes publicaron un bot de arbitraje de mercado múltiple que prometía generar más de 80 000 dólares al año. Obtuvo 36 estrellas y 53 bifurcaciones antes de que se descubriera la estafa. Todos los desarrolladores que lo descargaron e instalaron ejecutaron el malware.
Los atacantes eran conscientes de que los bots de trading reales habían ganado muchísimo dinero en Polymarket.
Un bot analizado por Dexter's Lab, empresa de análisis de mercados predictivos, convirtió 313 dólares en 414.000 dólares en tan solo un mes, mientras que otro, analizado por el investigador Igor Mikerin, generó 2,2 millones de dólares en dos meses. Este trachizo que el bot falso pareciera creíble para los operadores que buscaban ganancias fáciles.
Las instrucciones para este bot de trading falso incluían que los usuarios colocaran su clave privada de Polymarket en un archivo .env antes de ejecutar “npm install”. Durante la instalación, se ejecutaba el malware, que está oculto dentro de una dependencia llamada “clob-client-math”.
El malware roba gran cantidad de datos confidenciales, entre ellos:
Investigadores de seguridad creen que hackers norcoreanos están detrás de este ataque. El grupo está llevando a cabo una campaña más amplia llamada "Contagious Trader" que tiene como objetivo a desarrolladores de criptomonedas.
Cryptopolitan informó en marzo que unos hackers se apoderaron de la cuenta de un desarrollador de Axios y publicaron paquetes npm maliciosos. En mayo, una cuenta comprometida se utilizó para apoderarse de 323 paquetes en menos de 30 minutos.
Los usuarios de Polymarket también se han enfrentado a otros ataques este año, como cuando, a finales de junio, una estafa de phishing sustrajo 2,94 millones de dólares de al menos 11 cuentas.
SafeDep afirma que cualquier ordenador que haya ejecutado “npm install” en el bot falso debe considerarse pirateado. Se recomienda a los usuarios afectados que roten inmediatamente todas las claves de sus monederos de criptomonedas, cambien todas las contraseñas almacenadas en su navegador y reemplacen todas lasdentde AWS, las claves SSH y los tokens de API.
También se recomienda a los operadores que revisen sus archivos de bloqueo de npm en busca de los 30 paquetes maliciosos, buscando dependencias que aparezcan en package.json pero que nunca se utilicen en el código. El archivo package.json del repositorio en este ataque enumeraba cuatro dependencias, pero solo tres (el SDK oficial de Polymarket, ethers y dotenv) eran legítimas. La cuarta, clob-client-math, que ocultaba el malware, nunca se importó en ninguna parte del código fuente del bot.
La mejor defensa consiste en comprobar si los paquetes provienen de cuentas nuevas sin historial de publicaciones, ya que todos los paquetes falsos fueron publicados por cuentas completamente nuevas.
No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.