Bot de trading falso de Polymarket infecta a desarrolladores de DeFi con malware de robo de credenciales 

Tabla de Contenidos

Puntos Clave de la Noticia:

  • Un total de 30 paquetes maliciosos distribuidos en cuentas de npm fueron vinculados a un repositorio de GitHub que simulaba ser una herramienta automatizada de arbitraje.
  • Al menos 53 desarrolladores instalaron el programa fraudulento, comprometiendo claves privadas de billeteras de criptomonedas y contraseñas de navegadores.
  • El código malicioso se ejecutaba de forma automática durante la instalación al estar oculto en una dependencia secundaria que nunca era importada de manera interna.

El mercado de predicciones descentralizado afronta un nuevo vector de ataque informático que apunta de forma directa a su comunidad técnica. Este miércoles, la firma de seguridad SlowMist emitió una alerta sobre la circulación de un bot de trading de Polymarket falso en GitHub que distribuye malware diseñado para el robo masivo de credenciales financieras y de desarrollo.

De acuerdo con el informe técnico de la plataforma SafeDep, la campaña logró introducir un total de 30 paquetes npm maliciosos a través de múltiples cuentas falsas de creadores. El repositorio fraudulento operaba bajo el nombre de «polymarket-arbitrage-bot» y prometía generar ganancias estimadas en más de $80,000 dólares anuales. La oferta atrajo la atención de la comunidad de código abierto, alcanzando 36 estrellas y 53 bifurcaciones (forks) en la plataforma antes de que las autoridades de ciberseguridad lograran identificar la amenaza latente en los archivos de instalación.

La proliferación de este tipo de estafas responde a precedentes históricos documentados dentro del ecosistema de Polymarket. Análisis previos realizados por firmas especializadas como Dexter’s Lab revelaron que ciertas herramientas automatizadas legítimas convirtieron sumas de $313 dólares en $414,000 dólares en el lapso de un mes. Asimismo, reportes independientes del investigador Igor Mikerin detallaron que otro sistema automatizado generó ingresos por $2.2 millones de dólares en dos meses, lo que propició un escenario de alta confianza para los atacantes.

Bot de trading de Polymarket

Mecanismo de infección y vectores de procedencia

El proceso de configuración de la herramienta fraudulenta exigía de manera explícita que las víctimas ingresaran sus claves privadas en un archivo de configuración de entorno (.env) antes de ejecutar los comandos del sistema. Los datos de SafeDep señalan que el código dañino permanecía oculto bajo la apariencia de una biblioteca matemática denominada «clob-client-math», la cual iniciaba su actividad de forma inmediata durante el proceso rutinario de descarga de dependencias externas.

La carga útil del software extrae bases de datos críticas de los sistemas operativos locales. Los informes de auditoría confirman la sustracción de información de billeteras digitales como MetaMask, Phantom, Coinbase Wallet y TrustWallet, junto con claves de acceso SSH, tokens de las plataformas npm y PyPI, credenciales de entornos en la nube de Amazon Web Services (AWS) y registros almacenados en gestores de contraseñas de uso común.

Investigadores de seguridad de la industria vinculan de forma preliminar este incidente con células operativas respaldadas por el gobierno de Corea del Norte. La ofensiva forma parte de una estrategia a gran escala denominada «Contagious Trader», enfocada en el sector de infraestructura descentralizada. Esta campaña ya registró incidentes previos en el primer semestre del año, incluyendo el compromiso de cuentas corporativas de comunicación y la toma de control de 323 paquetes de software en un periodo menor a 30 minutos durante el pasado mes de mayo.

Ante la vulnerabilidad detectada, la recomendación de los analistas de  SafeDep es que  cualquier terminal que haya completado el proceso de instalación proceda con la rotación total de llaves criptográficas y la modificación inmediata de credenciales. 

La inspección de los archivos de registro del proyecto permite verificar que la biblioteca sospechosa figuraba en la lista de requisitos del sistema pero no ejecutaba ninguna función operativa real dentro de las líneas de código base de la aplicación.

RELATED POSTS

Ads

Síguenos en Redes

Cripto Tutoriales

Cripto Reviews