ÚLTIMAS NOTÍCIAS
SELECIONADO PARA VOCÊ

Desenvolvedores DeFi e usuários do bot de negociação Polymarket são alvos de um novo pacote npm que rouba informações

PorHannah CollymoreHannah Collymore
2 minutos de leitura ·
Usuários DeFie do bot de negociação Polymarket são alvos de um novo pacote npm para roubo de informações
  • Os atacantes criaram um bot falso de arbitragem do Polymarket no GitHub que instalava malware de roubo dedentpor meio de uma dependência oculta do npm.
  • Os 30 pacotes maliciosos, distribuídos em dez contas npm, têm como alvo carteiras de criptomoedas,dentde navegador, segredos de desenvolvedor e bancos de dados de gerenciadores de senhas.
  • Pelo menos 53 desenvolvedores fizeram forks do repositório antes que ele fosse sinalizado.

Hackers criaram um bot de negociação falso para os mercados de previsão da Polymarket no GitHub. O bot foi usado para disseminar malware que roubadentcomo chaves de carteira e senhas de navegador.

Foram encontrados 30 pacotes maliciosos em diversas contas do npm, supostamente direcionados a desenvolvedores e traders que utilizam estratégias automatizadas. Pelo menos 53 desenvolvedores caíram na armadilha antes que ela fosse detectada.

Como um bot falso se espalhou para mais de 53 desenvolvedores?

Em 1º de julho de 2026, a empresa de segurança SlowMist identificou um bot de negociação falso que prometia grandes lucros no Polymarket, mas que na verdade era apenas um veículo para distribuição de malware. A SafeDep encontrou 30 pacotes npm maliciosos espalhados por várias contas e vinculados a um repositório falso do GitHub.

Os criminosos publicaram um "bot de arbitragem de mercado" que alegava gerar mais de US$ 80.000 por ano. Ele recebeu 36 estrelas e 53 ramificações antes que o golpe fosse descoberto. Todos os desenvolvedores que baixaram e instalaram o programa executaram o malware.

Os atacantes tinham conhecimento de que bots de negociação reais haviam gerado lucros enormes no Polymarket.

Um robô analisado pela empresa de previsão de mercados Dexter's Lab transformou US$ 313 em US$ 414.000 em apenas um mês, enquanto outro, analisado pelo pesquisador Igor Mikerin, gerou US$ 2,2 milhões em dois meses. Esse tracfez com que o robô falso parecesse crível para os investidores em busca de lucros fáceis.

As instruções para este bot de negociação falso incluíam que os usuários inserissem sua chave privada do Polymarket em um arquivo .env antes de executar o comando “npm install”. Durante a instalação, o malware, que fica oculto em uma dependência chamada “clob-client-math”, seria executado.

O malware rouba muitos dados confidenciais, incluindo: 

  • Dados de carteiras de criptomoedas como MetaMask, Phantom, Coinbase Wallet, TrustWallet e outras.
  • Dados do navegador, como senhas salvas e cookies do Chrome, Firefox e Brave.
  • Chaves SSH, detalhes de login da AWS, tokens npm e PyPI.
  • Dados de gerenciadores de senhas como Bitwarden, KeePass e 1Password.
  • Chaves privadas e tokens de API.

O que você deve fazer se baixou o bot falso?

Pesquisadores de segurança acreditam que hackers norte-coreanos estão por trás desse ataque. O grupo está conduzindo uma campanha maior chamada "Contagious Trader" que tem como alvo desenvolvedores de criptomoedas.

Cryptopolitan noticiou que hackers invadiram a conta de um desenvolvedor da Axios e publicaram pacotes npm maliciosos. Em maio, uma conta comprometida foi usada para assumir o controle de 323 pacotes em menos de 30 minutos.

Os usuários do Polymarket também enfrentaram outros ataques este ano, como quando, no final de junho, um golpe de phishing drenou US$ 2,94 milhões de pelo menos 11 contas.

A SafeDep afirma que qualquer computador que tenha executado o comando “npm install” no bot falso deve ser considerado invadido. Recomenda-se que esses usuários rotacionem imediatamente todas as chaves de suas carteiras de criptomoedas, alterem todas as senhas armazenadas em seus navegadores e substituam todas asdentda AWS, chaves SSH e tokens de API.

Recomenda-se também aos traders que verifiquem seus arquivos npm lock em busca dos 30 pacotes maliciosos, procurando por dependências que aparecem no package.json, mas nunca são usadas no código. O arquivo “package.json” do repositório neste ataque listava quatro dependências, mas apenas três (o SDK oficial da Polymarket, ethers e dotenv) eram legítimas. A quarta, clob-client-math, que ocultava o malware, nunca foi importada em nenhum lugar no código-fonte do bot.

A melhor defesa é verificar se os pacotes vêm de contas novas, sem histórico de publicação, já que todos os pacotes falsos foram publicados por contas totalmente novas.

Não se limite a ler notícias sobre criptomoedas. Compreenda-as. Assine nossa newsletter. É grátis.

Perguntas frequentes

O que é um bot de arbitragem falso da Polymarket?

Trata-se de um repositório do GitHub (Trum3it/polymarket-arbitrage-bot) que se passava por um bot de negociação em TypeScript para os mercados de previsão da Polymarket, mas incluía uma dependência maliciosa do npm chamada `clob-client-math`, que instalava um programa de roubo de informações quando os desenvolvedores executavam o comando `npm install`, de acordo com a investigação da SafeDep.

Que dados o ladrão de informações coleta?

O malware tem como alvo cofres de carteiras de criptomoedas de oito das principais carteiras, incluindo MetaMask e Phantom, cookies e senhas de navegadores, chaves SSH,dentda AWS, tokens npm e PyPI, configurações do Docker, histórico do shell e bancos de dados de gerenciadores de senhas como Bitwarden, KeePass e 1Password.

Como os desenvolvedores podem verificar se foram afetados?

Os desenvolvedores que clonaram o repositório devem inspecionar seus arquivos npm lock em busca de qualquer um dos 30 pacotesdentna campanha, rotacionar todas asdente chaves privadas armazenadas na máquina afetada e auditar seu arquivo `package.json` em busca de dependências declaradas, mas nunca importadas no código-fonte.

Compartilhe este artigo

Aviso Legal. As informações fornecidas não constituem aconselhamento de investimento. CryptopolitanO não se responsabiliza por quaisquer investimentos realizados com base nas informações fornecidas nesta página. Recomendamostrona realização de pesquisas independentesdent /ou a consulta a um profissional qualificado antes de tomar qualquer decisão de investimento.

Hannah Collymore

Hannah Collymore

Hannah é escritora e editora com quase uma década de experiência em redação para blogs e cobertura de eventos no universo das criptomoedas. No Cryptopolitan, Hannah contribui para a página de notícias, reportando e analisando os últimos desenvolvimentos em DeFi, RWA, regulamentação de criptomoedas, IA e tecnologias de ponta. Ela se formou em Administração de Empresas pela Universidade Arcadia.

MAIS… NOTÍCIAS
CURSO INTENSIVO DE CRIPTOMOEDAS AVANÇADAS