Los atacantes distribuyen un programa de robo de información a los usuarios del bot de trading de Polymarket y a los desarrolladores DeFi a través de paquetes npm

Fuente Cryptopolitan

Unos hackers crearon un bot de trading falso para los mercados de predicción de Polymarket en GitHub. El bot se utilizó para propagar malware que robadentcomo claves de monederos y contraseñas de navegador.

Se detectaron 30 paquetes maliciosos en varias cuentas de npm, que al parecer tenían como objetivo a desarrolladores y operadores que utilizan estrategias automatizadas. Al menos 53 desarrolladores cayeron en la trampa antes de que se detectara.

¿Cómo se propagó un bot falso a más de 53 desarrolladores?

El 1 de julio de 2026, la empresa de seguridad SlowMist detectó un bot de trading falso que prometía grandes ganancias en Polymarket, pero que en realidad era un vehículo para distribuir malware. SafeDep encontró 30 paquetes npm maliciosos distribuidos en varias cuentas y vinculados a un repositorio falso de GitHub.

Los delincuentes publicaron un bot de arbitraje de mercado múltiple que prometía generar más de 80 000 dólares al año. Obtuvo 36 estrellas y 53 bifurcaciones antes de que se descubriera la estafa. Todos los desarrolladores que lo descargaron e instalaron ejecutaron el malware.

Los atacantes eran conscientes de que los bots de trading reales habían ganado muchísimo dinero en Polymarket.

Un bot analizado por Dexter's Lab, empresa de análisis de mercados predictivos, convirtió 313 dólares en 414.000 dólares en tan solo un mes, mientras que otro, analizado por el investigador Igor Mikerin, generó 2,2 millones de dólares en dos meses. Este trachizo que el bot falso pareciera creíble para los operadores que buscaban ganancias fáciles.

Las instrucciones para este bot de trading falso incluían que los usuarios colocaran su clave privada de Polymarket en un archivo .env antes de ejecutar “npm install”. Durante la instalación, se ejecutaba el malware, que está oculto dentro de una dependencia llamada “clob-client-math”.

El malware roba gran cantidad de datos confidenciales, entre ellos: 

  • Datos de monederos de criptomonedas de MetaMask, Phantom, Coinbase Wallet, TrustWallet y otros.
  • Datos del navegador, como contraseñas guardadas y cookies, de Chrome, Firefox y Brave.
  • Claves SSH, datos de inicio de sesión de AWS, tokens de npm y PyPI.
  • Datos procedentes de gestores de contraseñas como Bitwarden, KeePass y 1Password.
  • Claves privadas y tokens de API.

¿Qué debes hacer si has descargado el bot falso?

Investigadores de seguridad creen que hackers norcoreanos están detrás de este ataque. El grupo está llevando a cabo una campaña más amplia llamada "Contagious Trader" que tiene como objetivo a desarrolladores de criptomonedas.

Cryptopolitan informó en marzo que unos hackers se apoderaron de la cuenta de un desarrollador de Axios y publicaron paquetes npm maliciosos. En mayo, una cuenta comprometida se utilizó para apoderarse de 323 paquetes en menos de 30 minutos.

Los usuarios de Polymarket también se han enfrentado a otros ataques este año, como cuando, a finales de junio, una estafa de phishing sustrajo 2,94 millones de dólares de al menos 11 cuentas.

SafeDep afirma que cualquier ordenador que haya ejecutado “npm install” en el bot falso debe considerarse pirateado. Se recomienda a los usuarios afectados que roten inmediatamente todas las claves de sus monederos de criptomonedas, cambien todas las contraseñas almacenadas en su navegador y reemplacen todas lasdentde AWS, las claves SSH y los tokens de API.

También se recomienda a los operadores que revisen sus archivos de bloqueo de npm en busca de los 30 paquetes maliciosos, buscando dependencias que aparezcan en package.json pero que nunca se utilicen en el código. El archivo package.json del repositorio en este ataque enumeraba cuatro dependencias, pero solo tres (el SDK oficial de Polymarket, ethers y dotenv) eran legítimas. La cuarta, clob-client-math, que ocultaba el malware, nunca se importó en ninguna parte del código fuente del bot.

La mejor defensa consiste en comprobar si los paquetes provienen de cuentas nuevas sin historial de publicaciones, ya que todos los paquetes falsos fueron publicados por cuentas completamente nuevas.

No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.

Descargo de responsabilidad: Sólo con fines informativos. Rentabilidades pasadas no son indicativas de resultados futuros.
placeholder
WTI mantiene pérdidas cerca de 69.50$ en medio de las conversaciones entre EE.UU. e Irán en DohaEl precio del petróleo West Texas Intermediate (WTI) se mantiene contenido por segundo día consecutivo, cotizando alrededor de 69.70$ por barril durante las horas asiáticas del miércoles. Los precios del petróleo crudo caen a medida que las preocupaciones sobre el suministro disminuyen en medio de posibles conversaciones de paz en Doha entre EE.UU. e Irán.
Autor  FXStreet
14 hace una horas
El precio del petróleo West Texas Intermediate (WTI) se mantiene contenido por segundo día consecutivo, cotizando alrededor de 69.70$ por barril durante las horas asiáticas del miércoles. Los precios del petróleo crudo caen a medida que las preocupaciones sobre el suministro disminuyen en medio de posibles conversaciones de paz en Doha entre EE.UU. e Irán.
placeholder
El Oro se desploma a un nuevo mínimo anual ante las tensiones entre EE.UU. e Irán y las apuestas por la subida de tasas de la Fed que impulsan al USDEl Oro (XAU/USD) atrae algunas ventas de continuación por segundo día consecutivo y toca un nuevo mínimo desde noviembre de 2025, alrededor de la región de 3.943$-3.942$ durante la sesión asiática del martes.
Autor  FXStreet
6 Mes 30 Día Mar
El Oro (XAU/USD) atrae algunas ventas de continuación por segundo día consecutivo y toca un nuevo mínimo desde noviembre de 2025, alrededor de la región de 3.943$-3.942$ durante la sesión asiática del martes.
placeholder
Resumen del Mercado Cripto: Bitcoin estancado cerca de los 60.000$ El mercado más amplio de criptomonedas continúa cotizando bajo presión, con el Bitcoin (BTC) luchando por encontrar dirección cerca de los 60.000$ el lunes. El sentimiento minorista en criptomonedas se inclina a la baja, con el Índice de Miedo y Codicia de CoinMarketCap en 15 el lunes, manteniendo una tendencia lateral profundamente en la zona de “Miedo Extremo”
Autor  FXStreet
6 Mes 29 Día Lun
El mercado más amplio de criptomonedas continúa cotizando bajo presión, con el Bitcoin (BTC) luchando por encontrar dirección cerca de los 60.000$ el lunes. El sentimiento minorista en criptomonedas se inclina a la baja, con el Índice de Miedo y Codicia de CoinMarketCap en 15 el lunes, manteniendo una tendencia lateral profundamente en la zona de “Miedo Extremo”
placeholder
Plata Análisis del Precio: El XAG/USD ve una nueva caída por debajo de 55.60$ en medio de firmes apuestas de subida de tasas de la FedEl precio de la Plata (XAG/USD) cae un 2.5% hasta cerca de 56.50$ durante la sesión asiática del viernes
Autor  FXStreet
6 Mes 26 Día Vie
El precio de la Plata (XAG/USD) cae un 2.5% hasta cerca de 56.50$ durante la sesión asiática del viernes
placeholder
El Oro mantiene una tendencia bajista cerca de los mínimos de noviembre de 2025; se fija en el PCE de EE.UU. en medio de unas apuestas de subida de tipos de la Fed que retrocedenEl Oro (XAU/USD) se encuentra con nueva oferta durante la sesión asiática el jueves y retrocede al nivel más bajo desde noviembre de 2025, establecido el día anterior
Autor  FXStreet
6 Mes 25 Día Jue
El Oro (XAU/USD) se encuentra con nueva oferta durante la sesión asiática el jueves y retrocede al nivel más bajo desde noviembre de 2025, establecido el día anterior
goTop
quote