Des hackers ont créé un faux bot de trading pour les marchés de prédiction de Polymarket sur GitHub. Ce bot a été utilisé pour diffuser des logiciels malveillants qui volent des identifiants tels que les clés de portefeuille et les mots de passe de navigateur.
30 packages malveillants ont été découverts sur plusieurs comptes npm, ciblant apparemment des développeurs et des traders utilisant des stratégies automatisées. Au moins 53 développeurs sont tombés dans le piège avant qu'il ne soit signalé.

Le 1er juillet 2026, la société de sécurité SlowMist a signalé un faux bot de trading qui promettait de gros profits sur Polymarket, mais qui n'était en réalité qu'un vecteur de diffusion de logiciels malveillants. SafeDep a découvert 30 packages npm malveillants répartis sur plusieurs comptes et liés à un faux dépôt GitHub.
Les criminels ont publié un "polymarket-arbitrage-bot" qui prétendait générer plus de 80 000 $ par an. Il a obtenu 36 étoiles et 53 forks avant que l'arnaque ne soit exposée. Chaque développeur qui l'a téléchargé et installé a exécuté le logiciel malveillant.
Les attaquants étaient conscients du fait que de vrais bots de trading ont généré d'énormes profits sur Polymarket.
Un bot analysé par l'analyste des marchés de prédiction Dexter's Lab a transformé 313 $ en 414 000 $ en seulement un mois, tandis qu'un autre, analysé par le chercheur Igor Mikerin, a généré 2,2 millions de dollars en deux mois. Ce bilan a rendu le faux bot crédible aux yeux des traders en quête de profits faciles.
Les instructions de ce faux bot de trading demandaient aux utilisateurs de placer leur clé privée Polymarket dans un fichier .env avant d'exécuter "npm install". Lors de l'installation, le logiciel malveillant, dissimulé dans une dépendance appelée "clob-client-math", s'exécutait.
Le logiciel malveillant vole de nombreuses données sensibles, notamment :
Les chercheurs en sécurité pensent que des hackers nord-coréens sont à l'origine de cette attaque. Le groupe mène une campagne plus large appelée "Contagious Trader" qui cible les développeurs Crypto.
Cryptopolitan a rapporté en mars que des hackers ont pris le contrôle du compte d'un développeur Axios et publié des packages npm malveillants. En mai, un compte compromis a été utilisé pour prendre le contrôle de 323 packages en moins de 30 minutes.
Les utilisateurs de Polymarket ont également subi d'autres attaques cette année, notamment fin juin, lorsqu'une arnaque par hameçonnage a vidé 2,94 millions de dollars d'au moins 11 comptes.
SafeDep indique que tout ordinateur ayant exécuté "npm install" sur le faux bot doit être considéré comme compromis. Il est conseillé à ces personnes de renouveler immédiatement toutes les clés de portefeuille Crypto, de changer tous les mots de passe enregistrés dans leur navigateur, et de remplacer toutes les informations d'identification AWS, les clés SSH et les tokens API.
Les traders sont également invités à vérifier leurs fichiers de verrouillage npm pour les 30 packages malveillants en recherchant des dépendances qui apparaissent dans package.json mais ne sont jamais utilisées dans le code. Le fichier "package.json" du dépôt dans cette attaque listait quatre dépendances, mais seulement trois (le SDK officiel de Polymarket, ethers et dotenv) étaient légitimes. La quatrième, clob-client-math, qui cachait le logiciel malveillant, n'a jamais été importée nulle part dans le code source du bot.
La meilleure défense consiste à vérifier si les packages proviennent de nouveaux comptes sans historique de publication, car tous les faux packages ont été publiés par des comptes tout récemment créés.
Ne vous contentez pas de lire les actualités Crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.


