Un package npm malveillant vise les développeurs de bots Polymarket
Les développeurs de bots de trading pour la plateforme Polymarket ont été pris pour cible via un package malveillant nommé 'sleek-pretty' dans le référentiel npm. Se faisant passer pour une bibliothèque de journalisation, cet outil dérobe des données sensibles — notamment les clés API et les clés privées de portefeuille — exposant les utilisateurs à de lourdes pertes financières.
Mécanisme de l’attaque et cibles visées
Le package a été publié sur npm le 10 avril sous le compte probull02. Une fois installé dans un projet, il s’active automatiquement, contournant les contrôles de sécurité standards. Son code est fortement obfusqué, rendant la détection de la menace particulièrement difficile.
Cette attaque vise un groupe restreint : les développeurs créant des systèmes automatisés pour Polymarket, une plateforme de marchés prédictifs décentralisés avec des centaines de millions de dollars de volume d’échanges. Ces bots reposent sur le SDK officiel, où les identifiants sont généralement stockés dans des fichiers .env.
La charge utile malveillante :
- Récupère des informations système : système d’exploitation, adresse IP, nom d’utilisateur.
- Envoie les données volées vers des serveurs contrôlés par les attaquants.
- Sur Linux, injecte une clé SSH dans authorized_keys pour un accès persistant.
- Analyse le système de fichiers à la recherche de fichiers .env, JSON et documents, en ciblant spécifiquement les artefacts du SDK Polymarket.
Conséquences pour les victimes
Avec l’accès à ces données, les attaquants peuvent manipuler les ordres via l’API et vider directement les fonds des portefeuilles. Les comptes de bots détiennent souvent des centaines de milliers, voire des millions de dollars, ce qui amplifie considérablement les enjeux financiers.
Même la suppression du package ne suffit pas à éliminer la menace, en raison de la porte dérobée SSH persistante. Les attaquants conservent le contrôle du serveur, indépendamment du changement de mot de passe.
Points clés :
- Le package se fait passer pour un utilitaire de journalisation mais vole les identifiants Polymarket.
- Installe une porte dérobée SSH sur les systèmes Linux.
- Utilise des tactiques associées au groupe Lazarus de Corée du Nord.
- Les utilisateurs doivent auditer leurs fichiers authorized_keys et renouveler immédiatement tous leurs secrets.
- Cet incident illustre les risques liés à la chaîne d’approvisionnement logicielle dans les applications de trading cryptographique.
Menace plus large dans l’écosystème npm
Le registre npm reste une cible privilégiée pour les attaques de type supply chain. Entre 2023 et 2025, plusieurs campagnes ont visé les développeurs de cryptomonnaies — des packages falsifiés dérobant les identifiants de projets DeFi et NFT. Le groupe Lazarus, connu pour avoir infiltré de grandes bourses de cryptomonnaies, utilise fréquemment des techniques similaires : comptes éphémères et obfuscation de code.
Polymarket, qui permet de parier sur des événements réels — des élections aux sports — attire des traders à fort volume. Les bots automatisent ces paris en utilisant les données du SDK, ce qui en fait des cibles attrayantes. Le succès de ces attaques repose sur la confiance aveugle accordée à npm, le durcissement des secrets dans le code et l’absence de vérification des packages.
Recommandations de sécurité
Les développeurs de bots doivent adopter une stratégie de défense en profondeur :
- Utiliser des gestionnaires de secrets plutôt que des fichiers .env.
- Analyser les packages à la recherche d’obfuscation à l’aide d’outils comme Socket ou Snyk.
- Restreindre les permissions d’accès aux serveurs.
- Surveiller régulièrement les fichiers authorized_keys et les journaux SSH.
- Migrer vers des SDK certifiés dotés de fonctionnalités de sécurité intégrées.
Implications sectorielles
Cet incident met en lumière des vulnérabilités critiques dans les chaînes d’approvisionnement logicielles. Pour l’industrie de la crypto, il s’agit d’un signal d’alarme en faveur d’audits plus stricts — toute clé compromise entraînant un vol immédiat d’actifs. Les régulateurs pourraient prochainement imposer des règles de vérification de packages, à l’image des normes européennes DORA. Bien que des plateformes comme Polymarket renforcent leurs SDK, les développeurs restent le maillon le plus faible. La tendance générale montre une augmentation des attaques contre la DeFi, où les volumes d’échanges quotidiens dépassent les 100 milliards de dollars.
— Editorial Team
Aucun commentaire pour le moment.