Los hackers crearon un falso trading bot para los mercados de predicción de Polymarket en GitHub. El bot fue utilizado para distribuir malware que roba credenciales como claves de billetera y contraseñas del navegador.
Se encontraron 30 paquetes maliciosos en varias cuentas de npm, supuestamente dirigidos a desarrolladores y traders que utilizan estrategias automatizadas. Al menos 53 desarrolladores cayeron en la trampa antes de que fuera detectada.

El 1 de julio de 2026, la firma de seguridad SlowMist detectó un falso trading bot que prometía grandes ganancias en Polymarket, pero que en realidad era solo un vehículo de distribución de malware. SafeDep encontró 30 paquetes npm maliciosos distribuidos en múltiples cuentas y vinculados a un repositorio falso de GitHub.
Los criminales publicaron un "polymarket-arbitrage-bot" que afirmaba generar más de $80,000 al año. Obtuvo 36 estrellas y 53 forks antes de que la estafa fuera expuesta. Cada desarrollador que lo descargó e instaló ejecutó el malware.
Los atacantes eran conscientes de que los trading bots reales han generado enormes ganancias en Polymarket.
Un bot analizado por el analista de mercados de predicción Dexter's Lab convirtió $313 en $414,000 en tan solo un mes, mientras que otro, analizado por el investigador Igor Mikerin, generó $2.2 millones en dos meses. Este historial hizo que el bot falso pareciera creíble para los traders que buscaban ganancias fáciles.
Las instrucciones de este falso trading bot incluían que los usuarios introdujeran su clave privada de Polymarket en un archivo .env antes de ejecutar "npm install." Durante la instalación, el malware, oculto dentro de una dependencia llamada "clob-client-math", se ejecutaba.
El malware roba una gran cantidad de datos sensibles, entre ellos:
Los investigadores de seguridad creen que hackers norcoreanos están detrás de este ataque. El grupo está llevando a cabo una campaña más amplia llamada "Contagious Trader" que tiene como objetivo a desarrolladores de criptomonedas.
Cryptopolitan informó en marzo que hackers tomaron el control de la cuenta de un desarrollador de Axios y publicaron paquetes npm maliciosos. En mayo, una cuenta comprometida fue utilizada para tomar el control de 323 paquetes en menos de 30 minutos.
Los usuarios de Polymarket también han enfrentado otros ataques este año, como cuando, a finales de junio, una estafa de phishing drenó $2.94 millones de al menos 11 cuentas.
SafeDep afirma que cualquier ordenador que haya ejecutado "npm install" en el bot falso debe considerarse comprometido. Se aconseja a dichos usuarios rotar de inmediato todas las claves de sus billeteras de criptomonedas, cambiar todas las contraseñas almacenadas en el navegador y reemplazar todas las credenciales de AWS, claves SSH y tokens de API.
También se aconseja a los traders que revisen sus archivos npm lock en busca de los 30 paquetes maliciosos, buscando dependencias que aparezcan en package.json pero que nunca se utilicen en el código. El "package.json" del repositorio en este ataque listaba cuatro dependencias, pero solo tres (el SDK oficial de Polymarket, ethers y dotenv) eran legítimas. La cuarta, clob-client-math, que ocultaba el malware, nunca fue importada en ningún lugar del código fuente del bot.
La mejor defensa es verificar si los paquetes provienen de cuentas nuevas sin historial de publicaciones, ya que todos los paquetes falsos fueron publicados por cuentas recién creadas.
No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.


