Hackers criaram um bot de negociação falso para os mercados de previsão da Polymarket no GitHub. O bot foi usado para disseminar malware que roubadentcomo chaves de carteira e senhas de navegador.
Foram encontrados 30 pacotes maliciosos em diversas contas do npm, supostamente direcionados a desenvolvedores e traders que utilizam estratégias automatizadas. Pelo menos 53 desenvolvedores caíram na armadilha antes que ela fosse detectada.
Em 1º de julho de 2026, a empresa de segurança SlowMist identificou um bot de negociação falso que prometia grandes lucros no Polymarket, mas que na verdade era apenas um veículo para distribuição de malware. A SafeDep encontrou 30 pacotes npm maliciosos espalhados por várias contas e vinculados a um repositório falso do GitHub.
Os criminosos publicaram um "bot de arbitragem de mercado" que alegava gerar mais de US$ 80.000 por ano. Ele recebeu 36 estrelas e 53 ramificações antes que o golpe fosse descoberto. Todos os desenvolvedores que baixaram e instalaram o programa executaram o malware.
Os atacantes tinham conhecimento de que bots de negociação reais haviam gerado lucros enormes no Polymarket.
Um robô analisado pela empresa de previsão de mercados Dexter's Lab transformou US$ 313 em US$ 414.000 em apenas um mês, enquanto outro, analisado pelo pesquisador Igor Mikerin, gerou US$ 2,2 milhões em dois meses. Esse tracfez com que o robô falso parecesse crível para os investidores em busca de lucros fáceis.
As instruções para este bot de negociação falso incluíam que os usuários inserissem sua chave privada do Polymarket em um arquivo .env antes de executar o comando “npm install”. Durante a instalação, o malware, que fica oculto em uma dependência chamada “clob-client-math”, seria executado.
O malware rouba muitos dados confidenciais, incluindo:
Pesquisadores de segurança acreditam que hackers norte-coreanos estão por trás desse ataque. O grupo está conduzindo uma campanha maior chamada "Contagious Trader" que tem como alvo desenvolvedores de criptomoedas.
Cryptopolitan noticiou que hackers invadiram a conta de um desenvolvedor da Axios e publicaram pacotes npm maliciosos. Em maio, uma conta comprometida foi usada para assumir o controle de 323 pacotes em menos de 30 minutos.
Os usuários do Polymarket também enfrentaram outros ataques este ano, como quando, no final de junho, um golpe de phishing drenou US$ 2,94 milhões de pelo menos 11 contas.
A SafeDep afirma que qualquer computador que tenha executado o comando “npm install” no bot falso deve ser considerado invadido. Recomenda-se que esses usuários rotacionem imediatamente todas as chaves de suas carteiras de criptomoedas, alterem todas as senhas armazenadas em seus navegadores e substituam todas asdentda AWS, chaves SSH e tokens de API.
Recomenda-se também aos traders que verifiquem seus arquivos npm lock em busca dos 30 pacotes maliciosos, procurando por dependências que aparecem no package.json, mas nunca são usadas no código. O arquivo “package.json” do repositório neste ataque listava quatro dependências, mas apenas três (o SDK oficial da Polymarket, ethers e dotenv) eram legítimas. A quarta, clob-client-math, que ocultava o malware, nunca foi importada em nenhum lugar no código-fonte do bot.
A melhor defesa é verificar se os pacotes vêm de contas novas, sem histórico de publicação, já que todos os pacotes falsos foram publicados por contas totalmente novas.
Não se limite a ler notícias sobre criptomoedas. Compreenda-as. Assine nossa newsletter. É grátis.