Les bots de trading en copie de Polymarket ont été pris en flagrant délit de distribution de code malveillant ciblant les clés privées

Les chercheurs en sécurité de SlowMist Technology ont lancé une alerte critique concernant une menace dangereuse qui rôde dans les applications de trading liées à Polymarket. Selon des rapports de fin décembre 2024, un développeur a créé un programme de bot de trading en copie qui contient un code malveillant caché conçu pour compromettre la sécurité du portefeuille utilisateur. Cet incident met en lumière une tendance croissante d’attaques par chaîne d’approvisionnement dans l’écosystème des cryptomonnaies.

Comment fonctionne l’attaque : Injection de code basée sur GitHub

L’attaque commence là où les développeurs opèrent généralement — sur GitHub, où les dépôts de code sont partagés ouvertement. Le code malveillant a été délibérément intégré dans le code source d’un bot de trading en copie de Polymarket, dissimulé parmi des fonctions légitimes. Ce qui rend cette attaque particulièrement insidieuse, c’est la méthodologie de l’attaquant : les composants malveillants ont été répartis sur plusieurs commits, rendant la détection beaucoup plus difficile pour les auditeurs de sécurité et les relecteurs de code occasionnels.

Lors de l’exécution, le programme compromis effectue une action apparemment innocente — il lit le fichier “.env” de l’utilisateur, un fichier de configuration couramment utilisé dans les environnements de développement pour stocker des identifiants sensibles, y compris les clés privées du portefeuille. Cependant, plutôt que d’accéder simplement aux données locales, le programme transmet immédiatement ces identifiants à des serveurs externes contrôlés par l’attaquant, volant ainsi les clés privées qui donnent un accès complet aux actifs cryptographiques de l’utilisateur.

Vol de clés privées via l’exploitation du fichier de configuration

Ce vecteur d’attaque exploite une hypothèse de confiance fondamentale dans la communauté des développeurs : que les dépôts de code sont sûrs et que les projets open-source téléchargés ne contiennent pas de menaces dissimulées intentionnellement. La stratégie de l’attaquant consistant à modifier et à re-committer continuellement le code sur GitHub avait un double objectif — non seulement cela rendait la charge utile malveillante plus difficile à repérer lors d’une seule revue de code, mais cela créait aussi plusieurs « versions » de la menace pouvant échapper aux outils d’analyse statique.

L’exploitation du fichier .env est particulièrement dangereuse car de nombreux développeurs y stockent leurs identifiants les plus sensibles, le traitant comme une mesure de sécurité locale qui ne nécessite pas de chiffrement. Les utilisateurs téléchargeant le bot n’avaient aucune indication que son exécution exposerait leurs clés privées à des attaquants distants.

Alerte de sécurité SlowMist : un avertissement sur les menaces récurrentes

23pds, Directeur de la sécurité de l’information chez SlowMist Technology, a renforcé cette alerte de sécurité auprès de la communauté, soulignant que cet incident s’inscrit dans un schéma préoccupant. Sa déclaration, « Ce n’est pas la première fois, et ce ne sera pas la dernière », souligne que les attaques par chaîne d’approvisionnement et l’injection de code malveillant sont devenues des menaces systématiques plutôt que des incidents isolés.

L’intervention de SlowMist est significative car l’entreprise s’est imposée comme une voix de confiance dans la sécurité des cryptomonnaies, identifiant régulièrement des vulnérabilités et des menaces qui pourraient autrement passer inaperçues. La volonté de l’organisation de rendre publique cette menace démontre la gravité qu’elle attribue à cette campagne de code malveillant.

Comment protéger votre portefeuille contre les bots et codes malveillants

Les implications sont claires : télécharger et exécuter des bots de trading, des scripts d’automatisation ou tout outil tiers nécessite une évaluation rigoureuse. Les utilisateurs doivent adopter plusieurs pratiques de défense :

• Examiner minutieusement le code source avant exécution, ou consulter des développeurs expérimentés capables d’auditer le code pour détecter des menaces cachées
• Ne jamais stocker de clés privées ou de phrases de récupération dans des fichiers .env ou tout autre fichier local non chiffré
• Utiliser des portefeuilles matériels ou des systèmes isolés (air-gapped) pour le stockage à long terme des actifs, afin de minimiser l’exposition à un logiciel compromis
• Surveiller régulièrement l’activité de votre portefeuille pour détecter des transactions non autorisées pouvant indiquer une compromission préalable des clés
• Se montrer sceptique face aux solutions de copy trading nécessitant l’accès aux clés privées ou phrases de récupération — les outils légitimes utilisent généralement des clés API avec des permissions limitées

La capacité de la communauté de la sécurité à identifier et à alerter contre les codes malveillants reste un mécanisme de défense crucial, mais en fin de compte, la vigilance individuelle et des pratiques d’évaluation logicielle prudentes restent les protections les plus efficaces contre ces menaces en évolution.