Os atacantes distribuem o infostealer para usuários do bot de negociação Polymarket e desenvolvedores DeFi por meio de pacotes npm

Fonte Cryptopolitan

Hackers criaram um bot de negociação falso para os mercados de previsão da Polymarket no GitHub. O bot foi usado para disseminar malware que roubadentcomo chaves de carteira e senhas de navegador.

Foram encontrados 30 pacotes maliciosos em diversas contas do npm, supostamente direcionados a desenvolvedores e traders que utilizam estratégias automatizadas. Pelo menos 53 desenvolvedores caíram na armadilha antes que ela fosse detectada.

Como um bot falso se espalhou para mais de 53 desenvolvedores?

Em 1º de julho de 2026, a empresa de segurança SlowMist identificou um bot de negociação falso que prometia grandes lucros no Polymarket, mas que na verdade era apenas um veículo para distribuição de malware. A SafeDep encontrou 30 pacotes npm maliciosos espalhados por várias contas e vinculados a um repositório falso do GitHub.

Os criminosos publicaram um "bot de arbitragem de mercado" que alegava gerar mais de US$ 80.000 por ano. Ele recebeu 36 estrelas e 53 ramificações antes que o golpe fosse descoberto. Todos os desenvolvedores que baixaram e instalaram o programa executaram o malware.

Os atacantes tinham conhecimento de que bots de negociação reais haviam gerado lucros enormes no Polymarket.

Um robô analisado pela empresa de previsão de mercados Dexter's Lab transformou US$ 313 em US$ 414.000 em apenas um mês, enquanto outro, analisado pelo pesquisador Igor Mikerin, gerou US$ 2,2 milhões em dois meses. Esse tracfez com que o robô falso parecesse crível para os investidores em busca de lucros fáceis.

As instruções para este bot de negociação falso incluíam que os usuários inserissem sua chave privada do Polymarket em um arquivo .env antes de executar o comando “npm install”. Durante a instalação, o malware, que fica oculto em uma dependência chamada “clob-client-math”, seria executado.

O malware rouba muitos dados confidenciais, incluindo: 

  • Dados de carteiras de criptomoedas como MetaMask, Phantom, Coinbase Wallet, TrustWallet e outras.
  • Dados do navegador, como senhas salvas e cookies do Chrome, Firefox e Brave.
  • Chaves SSH, detalhes de login da AWS, tokens npm e PyPI.
  • Dados de gerenciadores de senhas como Bitwarden, KeePass e 1Password.
  • Chaves privadas e tokens de API.

O que você deve fazer se baixou o bot falso?

Pesquisadores de segurança acreditam que hackers norte-coreanos estão por trás desse ataque. O grupo está conduzindo uma campanha maior chamada "Contagious Trader" que tem como alvo desenvolvedores de criptomoedas.

Cryptopolitan noticiou que hackers invadiram a conta de um desenvolvedor da Axios e publicaram pacotes npm maliciosos. Em maio, uma conta comprometida foi usada para assumir o controle de 323 pacotes em menos de 30 minutos.

Os usuários do Polymarket também enfrentaram outros ataques este ano, como quando, no final de junho, um golpe de phishing drenou US$ 2,94 milhões de pelo menos 11 contas.

A SafeDep afirma que qualquer computador que tenha executado o comando “npm install” no bot falso deve ser considerado invadido. Recomenda-se que esses usuários rotacionem imediatamente todas as chaves de suas carteiras de criptomoedas, alterem todas as senhas armazenadas em seus navegadores e substituam todas asdentda AWS, chaves SSH e tokens de API.

Recomenda-se também aos traders que verifiquem seus arquivos npm lock em busca dos 30 pacotes maliciosos, procurando por dependências que aparecem no package.json, mas nunca são usadas no código. O arquivo “package.json” do repositório neste ataque listava quatro dependências, mas apenas três (o SDK oficial da Polymarket, ethers e dotenv) eram legítimas. A quarta, clob-client-math, que ocultava o malware, nunca foi importada em nenhum lugar no código-fonte do bot.

A melhor defesa é verificar se os pacotes vêm de contas novas, sem histórico de publicação, já que todos os pacotes falsos foram publicados por contas totalmente novas.

Não se limite a ler notícias sobre criptomoedas. Compreenda-as. Assine nossa newsletter. É grátis.

Isenção de responsabilidade: Apenas para fins informativos. O desempenho passado não é indicativo de resultados futuros.
placeholder
Previsão da Tendência do Preço do Bitcoin: Saídas Contínuas de ETF Limitam o Espaço de Recuperação do Preço do Bitcoin, US$ 58.000 Torna-se Nível Chave para Touros e UrsosTradingKey - Na sessão de negociação europeia de 1º de julho, o Bitcoin ( BTC) oscilou em torno de US$ 58.700, atingindo uma nova mínima acumulada no ano de US$ 57.800 no início do dia antes de se rec
Autor  TradingKey
5 horas atrás
TradingKey - Na sessão de negociação europeia de 1º de julho, o Bitcoin ( BTC) oscilou em torno de US$ 58.700, atingindo uma nova mínima acumulada no ano de US$ 57.800 no início do dia antes de se rec
placeholder
Ouro ronda mínima do ano abaixo de US$ 4.000 com riscos envolvendo Irã e apostas em alta do Fed impulsionando o dólarO ouro (XAU/USD) atrai novos vendedores após as fortes oscilações bidirecionais do dia anterior e volta a cair abaixo da marca psicológica de US$ 4.000 durante a sessão asiática de quarta-feira.
Autor  FXStreet
10 horas atrás
O ouro (XAU/USD) atrai novos vendedores após as fortes oscilações bidirecionais do dia anterior e volta a cair abaixo da marca psicológica de US$ 4.000 durante a sessão asiática de quarta-feira.
placeholder
O Bank of America alerta para uma correção de três ondas no S&P 500 que pode arrastar os mercados globais para baixo até setembroO Bank of America (BofA) emitiu um alerta sobre o S&P 500 em 26 de junho, prevendo uma provável correção significativa (queda no preço das ações) entre julho e setembro. O impacto geral poderá afetar outros mercados globais de ações e commodities, que já se encontram em uma posição frágil. De acordo com o BofA...
Autor  Cryptopolitan
14 horas atrás
O Bank of America (BofA) emitiu um alerta sobre o S&P 500 em 26 de junho, prevendo uma provável correção significativa (queda no preço das ações) entre julho e setembro. O impacto geral poderá afetar outros mercados globais de ações e commodities, que já se encontram em uma posição frágil. De acordo com o BofA...
placeholder
As altcoins têm a sequência de quedas mais longa desde 2022As altcoins estão sendo negociadas em um dos períodos de desempenho inferior mais longos desde 2020, semelhante ao mercado de baixa de 2022. 84% das altcoins estão sendo negociadas abaixo de sua média móvel de 200 dias.
Autor  Cryptopolitan
14 horas atrás
As altcoins estão sendo negociadas em um dos períodos de desempenho inferior mais longos desde 2020, semelhante ao mercado de baixa de 2022. 84% das altcoins estão sendo negociadas abaixo de sua média móvel de 200 dias.
placeholder
Empery Digital fecha acordo de data center de US$ 65 milhões enquanto IA substitui estratégia de BTCA Empery Digital (NASDAQ: EMPD), antiga fabricante de veículos elétricos que se tornou empresa de tesouraria Bitcoin , está investindo US$ 65 milhões em infraestrutura de IA após meses de revolta de acionistas e liquidações forçadas de BTC terem prejudicado sua estratégia original com criptomoedas. A informação foi divulgada em um documento da SEC e confirmada em um comunicado à imprensa pela empresa sediada em Austin, que anunciou a aquisição...
Autor  Cryptopolitan
15 horas atrás
A Empery Digital (NASDAQ: EMPD), antiga fabricante de veículos elétricos que se tornou empresa de tesouraria Bitcoin , está investindo US$ 65 milhões em infraestrutura de IA após meses de revolta de acionistas e liquidações forçadas de BTC terem prejudicado sua estratégia original com criptomoedas. A informação foi divulgada em um documento da SEC e confirmada em um comunicado à imprensa pela empresa sediada em Austin, que anunciou a aquisição...
goTop
quote