Sviluppatori DeFi e utenti del bot di trading Polymarket presi di mira da un nuovo pacchetto npm per il furto di informazioni

- Gli aggressori hanno creato un falso bot di arbitraggio Polymarket su GitHub che installava malware per il furto didenttramite una dipendenza npm nascosta.
- I 30 pacchetti dannosi, distribuiti su dieci account npm, prendono di mira portafogli di criptovalute,dentdel browser, segreti degli sviluppatori e database di gestori di password.
- Almeno 53 sviluppatori hanno effettuato il fork del repository prima che venisse segnalato.
Alcuni hacker hanno creato un falso bot di trading per i mercati di previsione di Polymarket su GitHub. Il bot è stato utilizzato per diffondere malware in grado di rubaredentcome le chiavi del portafoglio e le password del browser.
Sono stati rilevati 30 pacchetti dannosi su diversi account npm, che a quanto pare prendevano di mira sviluppatori e trader che utilizzano strategie automatizzate. Almeno 53 sviluppatori sono caduti nella trappola prima che venisse segnalata.
Come ha fatto un bot fasullo a diffondersi a oltre 53 sviluppatori?
Il 1° luglio 2026, la società di sicurezza SlowMist ha segnalato un falso bot di trading che prometteva grandi profitti su Polymarket, ma che in realtà era solo un veicolo per la diffusione di malware. SafeDep ha trovato 30 pacchetti npm dannosi distribuiti su più account e collegati a un falso repository GitHub.
I criminali hanno pubblicato un "bot per l'arbitraggio sul polymarket" che prometteva guadagni superiori a 80.000 dollari all'anno. Ha ottenuto 36 stelle e 53 fork prima che la truffa venisse smascherata. Ogni sviluppatore che lo ha scaricato e installato ha di fatto eseguito il malware.
Gli hacker erano consapevoli del fatto che dei veri e propri bot di trading avevano guadagnato ingenti somme di denaro su Polymarket.
Un bot analizzato da Dexter's Lab, società specializzata in mercati predittivi, ha trasformato 313 dollari in 414.000 dollari in un solo mese, mentre un altro, analizzato dal ricercatore Igor Mikerin, ha guadagnato 2,2 milioni di dollari in due mesi. Questi trachanno reso il bot fasullo credibile agli occhi dei trader in cerca di facili profitti.
Le istruzioni per questo finto bot di trading prevedevano che gli utenti inserissero la propria chiave privata di Polymarket in un file .env prima di eseguire "npm install". Durante l'installazione, il malware, nascosto all'interno di una dipendenza chiamata "clob-client-math", veniva eseguito.
Il malware ruba molti dati sensibili, tra cui:
- Dati sui portafogli di criptovalute provenienti da MetaMask, Phantom, Coinbase Wallet, TrustWallet e altri.
- Dati del browser come password salvate e cookie provenienti da Chrome, Firefox e Brave.
- Chiavi SSH, credenziali di accesso AWS, token npm e PyPI.
- Dati provenienti da gestori di password come Bitwarden, KeePass e 1Password.
- Chiavi private e token API.
Cosa dovresti fare se hai scaricato un bot falso?
Gli esperti di sicurezza ritengono che dietro questo attacco ci siano hacker nordcoreani. Il gruppo sta conducendo una campagna più ampia chiamata "Contagious Trader" che prende di mira gli sviluppatori di criptovalute.
Cryptopolitan ha riportato che degli hacker avevano preso il controllo dell'account di uno sviluppatore Axios e pubblicato pacchetti npm dannosi. A maggio, un singolo account compromesso è stato utilizzato per scaricare oltre 323 pacchetti in meno di 30 minuti.
Gli utenti di Polymarket hanno dovuto affrontare anche altri attacchi quest'anno, come ad esempio quando, a fine giugno, una truffa di phishing ha sottratto 2,94 milioni di dollari da almeno 11 conti.
SafeDep afferma che qualsiasi computer su cui sia stato eseguito il comando "npm install" sul bot fasullo dovrebbe essere considerato compromesso. Si consiglia a tali utenti di ruotare immediatamente tutte le chiavi dei portafogli di criptovalute, cambiare tutte le password memorizzate nel browser e sostituire tutte ledentAWS, le chiavi SSH e i token API.
Si consiglia inoltre ai trader di controllare i propri file di blocco npm alla ricerca dei 30 pacchetti dannosi, cercando le dipendenze che compaiono in package.json ma non vengono mai utilizzate nel codice. Il file "package.json" del repository in questo attacco elencava quattro dipendenze, ma solo tre (l'SDK ufficiale di Polymarket, ethers e dotenv) erano legittime. La quarta, clob-client-math, che nascondeva il malware, non è mai stata importata in nessuna parte del codice sorgente del bot.
La migliore difesa consiste nel verificare se i pacchetti provengono da account nuovi, senza alcuna cronologia di pubblicazione, poiché tutti i pacchetti falsi sono stati pubblicati da account appena creati.
Non limitarti a leggere le notizie sulle criptovalute. Cerca di capirle. Iscriviti alla nostra newsletter. È gratis.
Domande frequenti
Cos'è il falso bot di arbitraggio di Polymarket?
Si tratta di un repository GitHub (Trum3it/polymarket-arbitrage-bot) che si presentava come un bot di trading in TypeScript per i mercati di previsione di Polymarket, ma che includeva una dipendenza npm dannosa chiamata `clob-client-math`, la quale installava un infostealer quando gli sviluppatori eseguivano `npm install`, secondo l'indagine di SafeDep.
Quali dati raccoglie l'infostealer?
Il malware prende di mira i vault dei portafogli di criptovalute di otto importanti wallet, tra cui MetaMask e Phantom, i cookie e le password del browser, le chiavi SSH, ledentAWS, i token npm e PyPI, le configurazioni Docker, la cronologia della shell e i database dei gestori di password come Bitwarden, KeePass e 1Password.
Come possono gli sviluppatori verificare se sono stati colpiti?
Gli sviluppatori che hanno clonato il repository dovrebbero controllare i propri file di blocco npm per individuare uno qualsiasi dei 30 pacchettidentnella campagna, ruotare tutte ledente le chiavi private memorizzate sulla macchina interessata e verificare il proprio file `package.json` per individuare le dipendenze dichiarate ma mai importate nel codice sorgente.
Disclaimer. Le informazioni fornite non costituiscono consulenza di trading. Cryptopolitan/ non si assume alcuna responsabilità per gli investimenti effettuati sulla base delle informazioni fornite in questa pagina. Consigliamotronvivamente di effettuare ricerche indipendentident di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.

Hannah Collymore
Hannah è una scrittrice e redattrice con quasi dieci anni di esperienza nella scrittura di blog e nella cronaca di eventi nel settore delle criptovalute. Collabora con Cryptopolitan, occupandosi della pagina notizie e analizzando gli ultimi sviluppi in ambito DeFi, RWA, regolamentazione delle criptovalute, intelligenza artificiale e tecnologie all'avanguardia. Si è laureata in Economia aziendale presso l'Università di Arcadia.
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)
















