Los hackers crearon un bot de trading falso para los mercados de predicción de Polymarket en GitHub. El bot fue utilizado para distribuir malware que roba credenciales como claves de billetera yLos hackers crearon un bot de trading falso para los mercados de predicción de Polymarket en GitHub. El bot fue utilizado para distribuir malware que roba credenciales como claves de billetera y

Los atacantes distribuyen infostealer a usuarios de bots de trading de Polymarket y desarrolladores de DeFi a través de paquetes npm

2026/07/01 22:53
Lectura de 4 min
Si tienes comentarios o inquietudes sobre este contenido, comunícate con nosotros mediante crypto.news@mexc.com

Los hackers crearon un falso trading bot para los mercados de predicción de Polymarket en GitHub. El bot fue utilizado para distribuir malware que roba credenciales como claves de billetera y contraseñas del navegador.

Se encontraron 30 paquetes maliciosos en varias cuentas de npm, supuestamente dirigidos a desarrolladores y traders que utilizan estrategias automatizadas. Al menos 53 desarrolladores cayeron en la trampa antes de que fuera detectada.

Attackers deliver infostealer to Polymarket trading bot users, DeFi devs through npm packages

¿Cómo se propagó un bot falso a más de 53 desarrolladores?

El 1 de julio de 2026, la firma de seguridad SlowMist detectó un falso trading bot que prometía grandes ganancias en Polymarket, pero que en realidad era solo un vehículo de distribución de malware. SafeDep encontró 30 paquetes npm maliciosos distribuidos en múltiples cuentas y vinculados a un repositorio falso de GitHub.

Los criminales publicaron un "polymarket-arbitrage-bot" que afirmaba generar más de $80,000 al año. Obtuvo 36 estrellas y 53 forks antes de que la estafa fuera expuesta. Cada desarrollador que lo descargó e instaló ejecutó el malware.

Los atacantes eran conscientes de que los trading bots reales han generado enormes ganancias en Polymarket.

Un bot analizado por el analista de mercados de predicción Dexter's Lab convirtió $313 en $414,000 en tan solo un mes, mientras que otro, analizado por el investigador Igor Mikerin, generó $2.2 millones en dos meses. Este historial hizo que el bot falso pareciera creíble para los traders que buscaban ganancias fáciles.

Las instrucciones de este falso trading bot incluían que los usuarios introdujeran su clave privada de Polymarket en un archivo .env antes de ejecutar "npm install." Durante la instalación, el malware, oculto dentro de una dependencia llamada "clob-client-math", se ejecutaba.

El malware roba una gran cantidad de datos sensibles, entre ellos: 

  • Datos de billeteras de criptomonedas de MetaMask, Phantom, Coinbase Wallet, TrustWallet y otras.
  • Datos del navegador como contraseñas guardadas y cookies de Chrome, Firefox y Brave.
  • Claves SSH, credenciales de inicio de sesión de AWS, tokens de npm y PyPI.
  • Datos de gestores de contraseñas como Bitwarden, KeePass y 1Password.
  • Claves privadas y tokens de API.

¿Qué debes hacer si descargaste el bot falso?

Los investigadores de seguridad creen que hackers norcoreanos están detrás de este ataque. El grupo está llevando a cabo una campaña más amplia llamada "Contagious Trader" que tiene como objetivo a desarrolladores de criptomonedas.

Cryptopolitan informó en marzo que hackers tomaron el control de la cuenta de un desarrollador de Axios y publicaron paquetes npm maliciosos. En mayo, una cuenta comprometida fue utilizada para tomar el control de 323 paquetes en menos de 30 minutos.

Los usuarios de Polymarket también han enfrentado otros ataques este año, como cuando, a finales de junio, una estafa de phishing drenó $2.94 millones de al menos 11 cuentas.

SafeDep afirma que cualquier ordenador que haya ejecutado "npm install" en el bot falso debe considerarse comprometido. Se aconseja a dichos usuarios rotar de inmediato todas las claves de sus billeteras de criptomonedas, cambiar todas las contraseñas almacenadas en el navegador y reemplazar todas las credenciales de AWS, claves SSH y tokens de API.

También se aconseja a los traders que revisen sus archivos npm lock en busca de los 30 paquetes maliciosos, buscando dependencias que aparezcan en package.json pero que nunca se utilicen en el código. El "package.json" del repositorio en este ataque listaba cuatro dependencias, pero solo tres (el SDK oficial de Polymarket, ethers y dotenv) eran legítimas. La cuarta, clob-client-math, que ocultaba el malware, nunca fue importada en ningún lugar del código fuente del bot.

La mejor defensa es verificar si los paquetes provienen de cuentas nuevas sin historial de publicaciones, ya que todos los paquetes falsos fueron publicados por cuentas recién creadas.

No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.

Oportunidad de mercado
Logo de DeFi
Precio de DeFi(DEFI)
$0.0001848
$0.0001848$0.0001848
+0.43%
USD
Gráfico de precios en vivo de DeFi (DEFI)

Combo del Mundial: apunta a 200x

Combo del Mundial: apunta a 200xCombo del Mundial: apunta a 200x

Combina hasta 20 partidos del Mundial en una orden

Aviso legal: Los artículos republicados en este sitio provienen de plataformas públicas y se ofrecen únicamente con fines informativos. No reflejan necesariamente la opinión de MEXC. Todos los derechos pertenecen a los autores originales. Si consideras que algún contenido infringe derechos de terceros, comunícate a la dirección crypto.news@mexc.com para solicitar su eliminación. MEXC no garantiza la exactitud, la integridad ni la actualidad del contenido y no se responsabiliza por acciones tomadas en función de la información proporcionada. El contenido no constituye asesoría financiera, legal ni profesional, ni debe interpretarse como recomendación o respaldo por parte de MEXC.