Los atacantes distribuyen un programa de robo de información a los usuarios del bot de trading de Polymarket y a los desarrolladores DeFi a través de paquetes npm

Análisis Generado por IA
Este resumen es generado por inteligencia artificial para ayudarte a comprender mejor los puntos clave del artículo. El análisis es automatizado y debe usarse como un recurso complementario.
Ataque de Bot Falso en Polymarket: Malware Roba Claves y Contraseñas
Un grupo de hackers, presuntamente vinculado a Corea del Norte, creó un bot de trading falso para Polymarket en GitHub. El objetivo era propagar malware que roba información sensible, como claves de monederos y contraseñas de navegador, a desarrolladores y operadores.
- Bot falso: Prometía ganancias de 80.000 dólares anuales, imitando bots reales que generaron grandes beneficios.
- Propagación: Se distribuyó a través de 30 paquetes npm maliciosos en cuentas nuevas, obteniendo 36 estrellas y 53 bifurcaciones en GitHub.
- Víctimas: Al menos 53 desarrolladores cayeron en la trampa antes de ser detectado.
¿Cómo Funcionaba el Ataque?
El bot falso incluía instrucciones para que los usuarios colocaran su clave privada de Polymarket en un archivo .env y ejecutaran npm install. Durante la instalación, se activaba un malware oculto en la dependencia clob-client-math.
Datos Robados por el Malware
El malware robaba una amplia gama de datos confidenciales, incluyendo:
- Monederos: Claves de MetaMask, Phantom, Coinbase Wallet y TrustWallet.
- Navegadores: Contraseñas guardadas y cookies de Chrome, Firefox y Brave.
- Credenciales: Claves SSH, datos de inicio de sesión de AWS, tokens de npm y PyPI.
- Gestores de contraseñas: Datos de Bitwarden, KeePass y 1Password.
- API: Claves privadas y tokens de API.
Medidas de Seguridad Recomendadas
SafeDep advierte que cualquier ordenador que haya ejecutado npm install en el bot falso debe considerarse comprometido. Se recomienda:
- Rotar inmediatamente todas las claves de monederos de criptomonedas.
- Cambiar todas las contraseñas almacenadas en el navegador.
- Reemplazar todas las claves de AWS, SSH y tokens de API.
- Revisar los archivos de bloqueo de npm en busca de los 30 paquetes maliciosos, prestando atención a dependencias no utilizadas en el código.
- Verificar que los paquetes provengan de cuentas con historial de publicaciones, ya que todos los paquetes falsos fueron publicados por cuentas nuevas.
Leer el artículo completo
Este artículo proviene de Cryptopolitan. Haz clic abajo para leer la historia completa:
Leer Artículo Completo