Volver al inicio

Paquete npm malicioso roba claves de bots de Polymarket

Paquete sleek-pretty malicioso en npm apunta a desarrolladores de bots de Polymarket, robando claves API e implantando puertas traseras SSH. El ataque está ligado a Lazarus Group. Análisis de riesgos, consecuencias y medidas de protección para la industria crypto.

Piratas informáticos atacaron bots de Polymarket vía npm: detalles de la amenaza
Advertisement 728x90

Paquete malicioso en npm apunta a desarrolladores de bots de Polymarket

Los desarrolladores de bots de trading para la plataforma Polymarket han sido atacados mediante un paquete malicioso llamado 'sleek-pretty' en el repositorio npm. Disfrazado como una biblioteca de registro, esta herramienta roba datos sensibles —incluidas claves API y claves privadas de billeteras— exponiendo a los usuarios a pérdidas financieras significativas.

Mecanismo del ataque y objetivos

El paquete fue publicado en npm el 10 de abril desde la cuenta probull02. Una vez instalado en un proyecto, se activa automáticamente, evadiendo las verificaciones de seguridad estándar. Su código está fuertemente ofuscado, lo que dificulta la detección de amenazas.

Este ataque tiene como blanco a un grupo específico: desarrolladores que crean sistemas automatizados para Polymarket, una plataforma descentralizada de mercados predictivos con cientos de millones en volumen de operaciones. Estos bots dependen del SDK oficial, donde las credenciales suelen almacenarse en archivos .env.

Google AdInline article slot

La carga maliciosa:

  • Recopila información del sistema: sistema operativo, dirección IP, nombre de usuario.
  • Envía los datos robados a servidores controlados por los atacantes.
  • En Linux, inyecta una clave SSH en authorized_keys para mantener acceso persistente.
  • Escanea el sistema de archivos en busca de archivos .env, JSON y documentos, enfocándose especialmente en artefactos del SDK de Polymarket.

Impacto en las víctimas

Con acceso a estos datos, los atacantes pueden manipular operaciones mediante la API y vaciar directamente fondos de las billeteras. Las cuentas de bots suelen contener desde cientos de miles hasta millones de dólares, aumentando considerablemente el riesgo financiero.

Incluso desinstalar el paquete no elimina la amenaza debido al backdoor SSH persistente. Los atacantes mantienen el control del servidor independientemente del cambio de contraseñas.

Google AdInline article slot

Conclusiones clave:

  • El paquete simula ser una utilidad de registro, pero roba credenciales de Polymarket.
  • Instala un backdoor SSH en sistemas Linux.
  • Usa tácticas asociadas al grupo Lazarus de Corea del Norte.
  • Los usuarios deben auditar sus archivos authorized_keys y rotar todos sus secretos de inmediato.
  • Este incidente pone de manifiesto los riesgos en la cadena de suministro del software cripto.

Panorama general de amenazas en el ecosistema npm

El registro npm sigue siendo un objetivo prioritario para ataques a la cadena de suministro. Entre 2023 y 2025, múltiples campañas han atacado a desarrolladores de criptomonedas: paquetes falsos que roban credenciales de proyectos DeFi y NFT. El grupo Lazarus, conocido por violar grandes exchanges de cripto, emplea frecuentemente técnicas similares: cuentas de corta duración y ofuscación de código.

Polymarket, que permite apostar sobre eventos del mundo real —desde elecciones hasta deportes— atrae a traders de alto volumen. Los bots automatizan estas apuestas usando datos del SDK, convirtiéndolos en blancos atractivos. El éxito de estos ataques radica en la confianza ciega en npm, el uso de secretos codificados y la falta de verificación de paquetes.

Google AdInline article slot

Recomendaciones de seguridad

Los desarrolladores de bots deben adoptar una estrategia de defensa en capas:

  • Usar gestores de secretos en lugar de archivos .env.
  • Escanear paquetes en busca de ofuscación con herramientas como Socket o Snyk.
  • Restringir permisos de acceso al servidor.
  • Monitorear regularmente los archivos authorized_keys y los registros SSH.
  • Migrar a SDK verificados con funciones de seguridad integradas.

Implicaciones para toda la industria

Este incidente subraya vulnerabilidades críticas en las cadenas de suministro de software. Para la industria cripto, es una llamada de atención para auditorías más estrictas: claves comprometidas equivalen a robo instantáneo de activos. Es probable que pronto los reguladores impongan reglas de verificación de paquetes, similares a los estándares europeos DORA. Aunque plataformas como Polymarket están mejorando sus SDK, los desarrolladores siguen siendo el eslabón más débil. La tendencia general muestra un aumento en los ataques contra DeFi, donde los volúmenes diarios de operaciones superan los 100 mil millones de dólares.

— Editorial Team

Advertisement 728x90

Leer después