Desarrolladores DeFi y usuarios del bot de trading Polymarket, objetivo de un nuevo paquete npm que roba información

- Los atacantes crearon un bot de arbitraje falso de Polymarket en GitHub que instaló malware para robardenta través de una dependencia oculta de npm.
- Los 30 paquetes maliciosos distribuidos en diez cuentas de npm tienen como objetivo monederos de criptomonedas,dentde navegador, secretos de desarrolladores y bases de datos de gestores de contraseñas.
- Al menos 53 desarrolladores bifurcaron el repositorio antes de que fuera marcado como sospechoso.
Unos hackers crearon un bot de trading falso para los mercados de predicción de Polymarket en GitHub. El bot se utilizó para propagar malware que robadentcomo claves de monederos y contraseñas de navegador.
Se detectaron 30 paquetes maliciosos en varias cuentas de npm, que al parecer tenían como objetivo a desarrolladores y operadores que utilizan estrategias automatizadas. Al menos 53 desarrolladores cayeron en la trampa antes de que se detectara.
¿Cómo se propagó un bot falso a más de 53 desarrolladores?
El 1 de julio de 2026, la empresa de seguridad SlowMist detectó un bot de trading falso que prometía grandes ganancias en Polymarket, pero que en realidad era un vehículo para distribuir malware. SafeDep encontró 30 paquetes npm maliciosos distribuidos en varias cuentas y vinculados a un repositorio falso de GitHub.
Los delincuentes publicaron un bot de arbitraje de mercado múltiple que prometía generar más de 80 000 dólares al año. Obtuvo 36 estrellas y 53 bifurcaciones antes de que se descubriera la estafa. Todos los desarrolladores que lo descargaron e instalaron ejecutaron el malware.
Los atacantes eran conscientes de que los bots de trading reales habían ganado muchísimo dinero en Polymarket.
Un bot analizado por Dexter's Lab, empresa de análisis de mercados predictivos, convirtió 313 dólares en 414.000 dólares en tan solo un mes, mientras que otro, analizado por el investigador Igor Mikerin, generó 2,2 millones de dólares en dos meses. Este trachizo que el bot falso pareciera creíble para los operadores que buscaban ganancias fáciles.
Las instrucciones para este bot de trading falso incluían que los usuarios colocaran su clave privada de Polymarket en un archivo .env antes de ejecutar “npm install”. Durante la instalación, se ejecutaba el malware, que está oculto dentro de una dependencia llamada “clob-client-math”.
El malware roba gran cantidad de datos confidenciales, entre ellos:
- Datos de monederos de criptomonedas de MetaMask, Phantom, Coinbase Wallet, TrustWallet y otros.
- Datos del navegador, como contraseñas guardadas y cookies, de Chrome, Firefox y Brave.
- Claves SSH, datos de inicio de sesión de AWS, tokens de npm y PyPI.
- Datos procedentes de gestores de contraseñas como Bitwarden, KeePass y 1Password.
- Claves privadas y tokens de API.
¿Qué debes hacer si has descargado el bot falso?
Investigadores de seguridad creen que hackers norcoreanos están detrás de este ataque. El grupo está llevando a cabo una campaña más amplia llamada "Contagious Trader" que tiene como objetivo a desarrolladores de criptomonedas.
Cryptopolitan informó en marzo que unos hackers se apoderaron de la cuenta de un desarrollador de Axios y publicaron paquetes npm maliciosos. En mayo, una cuenta comprometida se utilizó para apoderarse de 323 paquetes en menos de 30 minutos.
Los usuarios de Polymarket también se han enfrentado a otros ataques este año, como cuando, a finales de junio, una estafa de phishing sustrajo 2,94 millones de dólares de al menos 11 cuentas.
SafeDep afirma que cualquier ordenador que haya ejecutado “npm install” en el bot falso debe considerarse pirateado. Se recomienda a los usuarios afectados que roten inmediatamente todas las claves de sus monederos de criptomonedas, cambien todas las contraseñas almacenadas en su navegador y reemplacen todas lasdentde AWS, las claves SSH y los tokens de API.
También se recomienda a los operadores que revisen sus archivos de bloqueo de npm en busca de los 30 paquetes maliciosos, buscando dependencias que aparezcan en package.json pero que nunca se utilicen en el código. El archivo package.json del repositorio en este ataque enumeraba cuatro dependencias, pero solo tres (el SDK oficial de Polymarket, ethers y dotenv) eran legítimas. La cuarta, clob-client-math, que ocultaba el malware, nunca se importó en ninguna parte del código fuente del bot.
La mejor defensa consiste en comprobar si los paquetes provienen de cuentas nuevas sin historial de publicaciones, ya que todos los paquetes falsos fueron publicados por cuentas completamente nuevas.
No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.
Preguntas frecuentes
¿Qué es el bot de arbitraje falso de Polymarket?
Según la investigación de SafeDep, se trata de un repositorio de GitHub (Trum3it/polymarket-arbitrage-bot) que se hacía pasar por un bot de trading de TypeScript para los mercados de predicción de Polymarket, pero que incluía una dependencia maliciosa de npm llamada `clob-client-math` que instalaba un programa espía cuando los desarrolladores ejecutaban `npm install`.
¿Qué datos recopila el ladrón de información?
El malware ataca las bóvedas de monederos de criptomonedas de ocho monederos importantes, incluidos MetaMask y Phantom, las cookies y contraseñas del navegador, las claves SSH, lasdentde AWS, los tokens de npm y PyPI, las configuraciones de Docker, el historial de la consola y las bases de datos de los gestores de contraseñas de Bitwarden, KeePass y 1Password.
¿Cómo pueden los desarrolladores comprobar si se vieron afectados?
Los desarrolladores que clonaron el repositorio deben inspeccionar sus archivos de bloqueo de npm en busca de cualquiera de los 30 paquetesdenten la campaña, rotar todas lasdenty claves privadas que se almacenaron en la máquina afectada y auditar su archivo `package.json` en busca de dependencias que se declaran pero que nunca se importan en el código fuente.
Aviso legal. La información proporcionada no constituye asesoramiento comercial. Cryptopolitanconsultar no se responsabiliza de las inversiones realizadas con base en la información proporcionada en esta página. Recomendamostronencarecidamente realizar una investigación independientedent un profesional cualificado antes de tomar cualquier decisión de inversión.

Hannah Collymore
Hannah es escritora y editora con casi una década de experiencia en redacción de blogs y reportajes sobre eventos en el ámbito de las criptomonedas. En Cryptopolitan, colabora en la sección de noticias, informando y analizando las últimas novedades en DeFi, RWA, regulación de criptomonedas, IA y tecnologías de vanguardia. Se graduó en Administración de Empresas por la Universidad de Arcadia.
- ¿Qué criptomonedas pueden hacerte ganar dinero?
- Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
- Estrategias de inversión poco conocidas que utilizan los profesionales
- Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)
















