¿Apuestas en Polymarket? Tus fondos en riesgo: hackers tendieron una trampa a quienes usan bots de trading.
En juego están sumas que hacen olvidar todo decoro.
En npm se detectó un paquete malicioso que se hace pasar por una herramienta inofensiva de registro, pero que en realidad abre acceso a billeteras de criptomonedas y a los servidores de los desarrolladores. El ataque está dirigido a una audiencia reducida: autores de bots de trading para la plataforma Polymarket, donde se mueven cientos de millones de dólares.
El paquete denominado «sleek-pretty» versión 1.0.0 fue subido al repositorio el 10 de abril desde una nueva cuenta, probull02. Tras integrarse en un proyecto, el código se ejecuta de inmediato, sin fase de instalación, y realiza varias acciones maliciosas. Para ocultar la lógica, los atacantes ofuscaron el código JavaScript, y los especialistas tuvieron que descifrarlo primero.
El objetivo principal son los desarrolladores que escriben bots automáticos para operar en Polymarket. Esos bots funcionan mediante el SDK oficial y normalmente almacenan claves de acceso y claves privadas de las billeteras en archivos .env. Son estos datos los que busca el código malicioso. Además, el ataque tiene en cuenta la estructura de los proyectos y busca de forma dirigida archivos concretos del SDK, en lugar de simplemente recorrer el contenido de los directorios.
Tras ejecutarse, el paquete recopila información del sistema, incluido el tipo de sistema operativo, la dirección IP y el nombre de usuario, y envía los datos a un servidor de control. En Linux, además, se implanta acceso persistente: en el archivo authorized_keys se añade la clave SSH del atacante. Ese acceso se mantiene incluso tras eliminar el paquete y cambiar las contraseñas.
A continuación el código examina el sistema de archivos, busca archivos .env, documentos JSON y archivos de oficina, y luego los transmite a un servidor remoto. Se procesan por separado los archivos del proyecto relacionados con Polymarket, incluidas configuraciones y el código fuente del SDK. Como resultado, los atacantes obtienen tanto claves API para operar como las claves privadas de las billeteras, que permiten el control total de los fondos.
La combinación de niveles de acceso representa un peligro particular. Con las claves API se pueden gestionar órdenes, y la clave privada permite retirar fondos directamente de la billetera, sin pasar por la propia plataforma. Teniendo en cuenta que a través de estos bots se gestionan cuentas con sumas que van desde cientos hasta cientos de miles de dólares, las consecuencias pueden ser graves.
El análisis señala una conexión del ataque con el grupo norcoreano Lazarus, también conocido como Famous Chollima. Los métodos utilizados coinciden con campañas previas contra desarrolladores de servicios cripto: paquetes falsos, robo de archivos de configuración y uso de cuentas temporales.
La situación se complica porque eliminar el paquete no resuelve el problema por completo. Si existe acceso SSH, el atacante puede mantener el control del sistema. Se recomienda a los desarrolladores que instalaron «sleek-pretty» que verifiquen el archivo authorized_keys, eliminen claves no autorizadas y cambien todas las credenciales, incluidas las claves API y las claves privadas.