Développeurs DeFi et utilisateurs du robot de trading Polymarket ciblés par un nouveau package npm de vol d'informations

- Des attaquants ont créé un faux bot d'arbitrage Polymarket sur GitHub qui installait un logiciel malveillant de vol d'dentvia une dépendance npm cachée.
- Les 30 paquets malveillants répartis sur dix comptes npm ciblent les portefeuilles de cryptomonnaies, lesdentde navigateur, les secrets des développeurs et les bases de données de gestionnaires de mots de passe.
- Au moins 53 développeurs ont créé une copie du dépôt avant qu'il ne soit signalé.
Des pirates informatiques ont créé un faux robot de trading pour les marchés de prédiction de Polymarket sur GitHub. Ce robot a été utilisé pour diffuser un logiciel malveillant qui voledenttels que les clés de portefeuille et les mots de passe de navigateur.
Trente paquets malveillants ont été découverts sur plusieurs comptes npm, ciblant apparemment les développeurs et les traders utilisant des stratégies automatisées. Au moins 53 développeurs ont été piégés avant que le problème ne soit signalé.
Comment un faux bot a-t-il pu se propager à plus de 53 développeurs ?
Le 1er juillet 2026, la société de sécurité SlowMist a signalé un faux robot de trading promettant des profits importants sur Polymarket, mais qui servait en réalité de vecteur de diffusion de logiciels malveillants. SafeDep a découvert 30 paquets npm malveillants répartis sur plusieurs comptes et liés à un faux dépôt GitHub.
Les escrocs ont mis en ligne un « bot d'arbitrage de marché » qui prétendait générer plus de 80 000 $ par an. Ce programme a reçu 36 étoiles et a été dupliqué 53 fois avant que l'arnaque ne soit découverte. Chaque développeur qui l'a téléchargé et installé a exécuté le logiciel malveillant.
Les auteurs des attaques savaient que de véritables robots de trading avaient engrangé d'énormes profits sur Polymarket.
Un robot de trading analysé par Dexter's Lab, un analyste des marchés prédictifs, a transformé 313 $ en 414 000 $ en un seul mois, tandis qu'un autre, analysé par le chercheur Igor Mikerin, a généré 2,2 millions de dollars en deux mois. Ces tracont rendu le faux robot crédible aux yeux des traders en quête de gains faciles.
Les instructions de ce faux robot de trading indiquaient aux utilisateurs d'insérer leur clé privée Polymarket dans un fichier .env avant d'exécuter « npm install ». Lors de l'installation, le logiciel malveillant, dissimulé dans une dépendance appelée « clob-client-math », s'exécutait.
Le logiciel malveillant vole de nombreuses données sensibles, notamment :
- Données de portefeuilles crypto provenant de MetaMask, Phantom, Coinbase Wallet, TrustWallet et autres.
- Données de navigation telles que les mots de passe enregistrés et les cookies de Chrome, Firefox et Brave.
- Clés SSH, informations de connexion AWS, jetons npm et PyPI.
- Données provenant de gestionnaires de mots de passe tels que Bitwarden, KeePass et 1Password.
- Clés privées et jetons d'API.
Que faire si vous avez téléchargé un faux bot ?
Des experts en sécurité pensent que des pirates informatiques nord-coréens sont à l'origine de cette attaque. Ce groupe mène une campagne de plus grande envergure, baptisée « Contagious Trader », qui cible les développeurs de cryptomonnaies.
Cryptopolitan a signalé que des pirates informatiques avaient pris le contrôle du compte d'un développeur d'Axios et publié des paquets npm malveillants. En mai, un compte compromis a permis de s'emparer de 323 paquets en moins de 30 minutes.
Les utilisateurs de Polymarket ont également subi d'autres attaques cette année, comme lorsqu'à la fin du mois de juin, une escroquerie par hameçonnage a permis de dérober 2,94 millions de dollars à au moins 11 comptes.
SafeDep indique que tout ordinateur ayant exécuté la commande « npm install » sur le faux bot doit être considéré comme piraté. Il est conseillé aux personnes concernées de renouveler immédiatement toutes leurs clés de portefeuille crypto, de modifier tous les mots de passe enregistrés dans leur navigateur et de remplacer tous leursdentAWS, clés SSH et jetons d'API.
Il est également conseillé aux traders de vérifier leurs fichiers de verrouillage npm afin de détecter la présence de 30 paquets malveillants. Pour ce faire, ils doivent rechercher les dépendances figurant dans le fichier package.json mais jamais utilisées dans le code. Dans le cas de cette attaque, le fichier « package.json » du dépôt listait quatre dépendances, mais seules trois (le SDK officiel de Polymarket, ethers et dotenv) étaient légitimes. La quatrième, clob-client-math, qui dissimulait le logiciel malveillant, n'a jamais été importée dans le code source du bot.
La meilleure défense consiste à vérifier si les paquets proviennent de nouveaux comptes sans historique de publication, car tous les faux paquets ont été publiés par des comptes flambant neufs.
Ne vous contentez pas de lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.
FAQ
Qu'est-ce que le faux bot d'arbitrage Polymarket ?
Il s'agit d'un dépôt GitHub (Trum3it/polymarket-arbitrage-bot) qui se faisait passer pour un bot de trading TypeScript pour les marchés de prédiction de Polymarket, mais qui incluait une dépendance npm malveillante appelée `clob-client-math` qui installait un voleur d'informations lorsque les développeurs exécutaient `npm install`, selon l'enquête de SafeDep.
Quelles données le voleur d'informations collecte-t-il ?
Le logiciel malveillant cible les coffres-forts de portefeuilles crypto de huit grands portefeuilles, dont MetaMask et Phantom, les cookies et mots de passe du navigateur, les clés SSH, lesdentAWS, les jetons npm et PyPI, les configurations Docker, l'historique du shell et les bases de données des gestionnaires de mots de passe Bitwarden, KeePass et 1Password.
Comment les développeurs peuvent-ils vérifier s'ils ont été affectés ?
Les développeurs ayant cloné le dépôt doivent vérifier leurs fichiers de verrouillage npm pour détecter l'un des 30 packagesdentdans la campagne, renouveler tousdentet clés privées stockés sur la machine affectée et auditer leur fichier `package.json` pour identifier les dépendances déclarées mais jamais importées dans le code source.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.

Hannah Collymore
Hannah est rédactrice et éditrice, forte d'une expérience de près de dix ans dans la rédaction de blogs et la couverture d'événements liés aux cryptomonnaies. Chez Cryptopolitan, elle contribue à la page d'actualités en rédigeant des articles et en analysant les dernières évolutions de la finance décentralisée DeFi, des comptes gérés par les utilisateurs (RWA), de la réglementation des cryptomonnaies, de l'intelligence artificielle (IA) et des technologies de pointe. Elle est diplômée en administration des affaires de l'université Arcadia.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)
















