Bots de cópia de negociação Polymarket apanhados a distribuir código malicioso direcionado a chaves privadas

Pesquisadores de segurança da SlowMist Technology emitiram um alerta crítico sobre uma ameaça perigosa que se esconde em aplicações de trading relacionadas com Polymarket. De acordo com relatórios de final de dezembro de 2024, um desenvolvedor criou um programa de bot de cópia de trading que contém código malicioso oculto, projetado para comprometer a segurança da carteira do utilizador. Este incidente destaca uma tendência crescente de ataques à cadeia de abastecimento dentro do ecossistema de criptomoedas.

Como funciona o ataque: Injeção de código baseada no GitHub

O ataque começa onde os desenvolvedores normalmente operam—no GitHub, onde os repositórios de código são partilhados abertamente. O código malicioso foi deliberadamente embutido no código fonte de um bot de cópia de trading da Polymarket, disfarçado entre funções legítimas. O que torna isto particularmente insidioso é a metodologia do atacante: os componentes maliciosos foram espalhados por múltiplos commits, dificultando significativamente a deteção por auditores de segurança e revisores ocasionais de código.

Após a execução, o programa comprometido realiza uma ação aparentemente inocente—lê o ficheiro “.env” do utilizador, um ficheiro de configuração comumente usado em ambientes de desenvolvimento para armazenar credenciais sensíveis, incluindo chaves privadas de carteiras. No entanto, em vez de simplesmente aceder aos dados locais, o programa transmite imediatamente essas credenciais para servidores externos controlados pelo atacante, roubando efetivamente as chaves privadas que concedem acesso completo aos ativos cripto do utilizador.

Roubo de chaves privadas através da exploração do ficheiro de configuração

Este vetor de ataque explora uma suposição fundamental de confiança na comunidade de desenvolvedores: que os repositórios de código são seguros e que projetos open-source descarregados não conterão ameaças ocultas deliberadamente. A estratégia do atacante de modificar continuamente e re-commitar o código no GitHub serviu a um duplo propósito—não só dificultou a deteção do payload malicioso numa revisão de código única, mas também criou múltiplas “versões” da ameaça que podiam escapar às ferramentas de análise estática.

A exploração do ficheiro .env é particularmente perigosa porque muitos desenvolvedores armazenam lá as suas credenciais mais sensíveis, tratando-o como uma medida de segurança local que não requer encriptação. Os utilizadores que descarregaram o bot não tinham qualquer indicação de que executá-lo exporia as suas chaves privadas a atacantes remotos.

Alerta de segurança da SlowMist: Um aviso sobre ameaças recorrentes

23pds, Diretor de Segurança da Informação da SlowMist Technology, reforçou este aviso de segurança para a comunidade mais ampla, sublinhando que este incidente segue um padrão preocupante. A sua declaração, “Não é a primeira vez, e não será a última,” destaca que ataques à cadeia de abastecimento e injeção de código malicioso tornaram-se ameaças sistemáticas, e não incidentes isolados.

A intervenção da SlowMist é significativa porque a empresa consolidou-se como uma voz de confiança na segurança de criptomoedas, identificando regularmente vulnerabilidades e ameaças que de outra forma poderiam passar despercebidas. A disposição da organização em divulgar publicamente esta ameaça demonstra a gravidade que avaliam nesta campanha de código malicioso.

Como proteger a sua carteira de bots e códigos maliciosos

As implicações são claras: descarregar e executar bots de trading, scripts de automação ou quaisquer ferramentas de terceiros requer uma avaliação rigorosa. Os utilizadores devem adotar várias práticas defensivas:

• Revisar cuidadosamente o código fonte antes de executar, ou consultar desenvolvedores experientes que possam auditar o código em busca de ameaças ocultas
• Nunca armazenar chaves privadas ou frases-semente em ficheiros .env ou quaisquer ficheiros locais não encriptados
• Utilizar carteiras de hardware ou sistemas isolados (air-gapped) para armazenamento de ativos a longo prazo, minimizando a exposição a software comprometido
• Monitorizar regularmente a atividade da sua carteira para transações não autorizadas que possam indicar uma violação anterior das chaves
• Ser cético em relação a soluções de copy trading que requerem acesso às chaves privadas ou frases-semente—ferramentas legítimas normalmente usam chaves API com permissões limitadas

A capacidade da comunidade de segurança de identificar e alertar contra códigos maliciosos continua a ser uma defesa crítica, mas, em última análise, a vigilância individual e práticas cautelosas de avaliação de software permanecem como as salvaguardas mais eficazes contra estas ameaças em evolução.