Los bots de copia de trading de Polymarket son detectados distribuyendo código malicioso dirigido a claves privadas

Los investigadores de seguridad de SlowMist Technology han emitido una alerta crítica sobre una amenaza peligrosa que acecha en las aplicaciones de trading relacionadas con Polymarket. Según informes de finales de diciembre de 2024, un desarrollador creó un programa de bots de copia de trading que alberga código malicioso oculto diseñado para comprometer la seguridad de las carteras de los usuarios. Este incidente destaca una tendencia creciente de ataques a la cadena de suministro dentro del ecosistema de criptomonedas.

Cómo funciona el ataque: Inyección de código basada en GitHub

El ataque comienza donde los desarrolladores suelen operar—en GitHub, donde los repositorios de código se comparten abiertamente. El código malicioso fue deliberadamente incrustado en el código fuente de un bot de copia de trading de Polymarket, disfrazado entre funciones legítimas. Lo que hace esto particularmente insidioso es la metodología del atacante: los componentes maliciosos se distribuyeron a través de múltiples commits, dificultando significativamente la detección para los auditores de seguridad y revisores de código casuales.

Al ejecutarse, el programa comprometido realiza una acción aparentemente inocente—lee el archivo “.env” del usuario, un archivo de configuración comúnmente utilizado en entornos de desarrollo para almacenar credenciales sensibles, incluyendo claves privadas de la cartera. Sin embargo, en lugar de simplemente acceder a los datos locales, el programa transmite inmediatamente estas credenciales a servidores externos controlados por el atacante, robando efectivamente las claves privadas que otorgan acceso completo a los activos criptográficos del usuario.

Robo de claves privadas mediante explotación del archivo de configuración

Este vector de ataque explota una suposición fundamental de confianza en la comunidad de desarrolladores: que los repositorios de código son seguros y que los proyectos de código abierto descargados no contienen amenazas ocultas deliberadamente. La estrategia del atacante de modificar y volver a comprometer el código en GitHub sirvió a un doble propósito—no solo dificultó la detección del payload malicioso en una sola revisión de código, sino que también creó múltiples “versiones” de la amenaza que podían evadir las herramientas de análisis estático.

La explotación del archivo .env es particularmente peligrosa porque muchos desarrolladores almacenan allí sus credenciales más sensibles, tratándolo como una medida de seguridad solo local que no requiere cifrado. Los usuarios que descargaron el programa del bot no tenían indicios de que ejecutarlo expondría sus claves privadas a atacantes remotos.

Alerta de seguridad de SlowMist: una advertencia sobre amenazas recurrentes

23pds, Director de Seguridad de la Información de SlowMist Technology, amplificó esta advertencia de seguridad a toda la comunidad, enfatizando que este incidente sigue un patrón preocupante. Su declaración, “No es la primera vez, y no será la última,” subraya que los ataques a la cadena de suministro y la inyección de código malicioso se han convertido en amenazas sistemáticas en lugar de incidentes aislados.

La intervención de SlowMist es significativa porque la firma se ha establecido como una voz confiable en la seguridad de criptomonedas, identificando regularmente vulnerabilidades y amenazas que de otro modo pasarían desapercibidas. La disposición de la organización a hacer pública esta amenaza demuestra la gravedad que consideran que representa esta campaña de código malicioso.

Cómo proteger tu cartera de bots y código malicioso

Las implicaciones son claras: descargar y ejecutar bots de trading, scripts de automatización o cualquier herramienta de terceros requiere una evaluación minuciosa. Los usuarios deben adoptar varias prácticas defensivas:

• Revisar cuidadosamente el código fuente antes de ejecutarlo, o consultar con desarrolladores experimentados que puedan auditar el código en busca de amenazas ocultas
• Nunca almacenar claves privadas o frases semilla en archivos .env o en cualquier archivo local sin cifrar
• Utilizar carteras hardware o sistemas aislados (air-gapped) para el almacenamiento a largo plazo de activos, minimizando la exposición a software comprometido
• Monitorear regularmente la actividad de tu cartera en busca de transacciones no autorizadas que puedan indicar una vulnerabilidad previa de la clave
• Ser escéptico con soluciones de copia de trading que requieran acceso a claves privadas o frases semilla—las herramientas legítimas suelen usar claves API con permisos limitados en su lugar

La capacidad de la comunidad de seguridad para identificar y advertir sobre código malicioso sigue siendo un mecanismo de defensa crucial, pero en última instancia, la vigilancia individual y las prácticas cautelosas de evaluación de software siguen siendo las salvaguardas más efectivas contra estas amenazas en evolución.