BTCC / BTCC Square / CryptopolitanFR /
Alerte Sécurité : Faux Robot de Trading Polymarket Infecte les Développeurs DeFi avec un Logiciel Espion via des Paquets npm

Alerte Sécurité : Faux Robot de Trading Polymarket Infecte les Développeurs DeFi avec un Logiciel Espion via des Paquets npm

CryptopolitanFR
Heure de publication:
2026-07-01 14:53:18
0

AVERTISSEMENT URGENT – Les experts en cybersécurité tirent la sonnette d'alarme : un faux robot de trading ciblant la plateforme Polymarket a été utilisé pour déployer un logiciel espion dérobant clés de portefeuille et mots de passe. Plus de 30 paquets npm malveillants ont été identifiés sur plusieurs comptes, piégeant au moins 53 développeurs et traders utilisant des stratégies automatisées avant la découverte de la menace. Cette attaque cible directement l'écosystème DeFi en pleine expansion.

Comment un faux bot a-t-il pu se propager à plus de 53 développeurs ?

Le 1er juillet 2026, la société de sécurité SlowMist a signalé un faux robot de trading promettant des profits importants sur Polymarket, mais qui servait en réalité de vecteur de diffusion de logiciels malveillants. SafeDep a découvert 30 paquets npm malveillants répartis sur plusieurs comptes et liés à un faux dépôt GitHub.

Les escrocs ont mis en ligne un « bot d'arbitrage de marché » qui prétendait générer plus de 80 000 $ par an. Ce programme a reçu 36 étoiles et a été dupliqué 53 fois avant que l'arnaque ne soit découverte. Chaque développeur qui l'a téléchargé et installé a exécuté le logiciel malveillant.

Les auteurs des attaques savaient que de véritables robots de trading avaient engrangé d'énormes profits sur Polymarket.

Un robot de trading analysé par Dexter's Lab, un analyste des marchés prédictifs, a transformé 313 $ en 414 000 $ en un seul mois, tandis qu'un autre, analysé par le chercheur Igor Mikerin, a généré 2,2 millions de dollars en deux mois. Ces tracont rendu le faux robot crédible aux yeux des traders en quête de gains faciles.

Les instructions de ce faux robot de trading indiquaient aux utilisateurs d'insérer leur clé privée Polymarket dans un fichier .env avant d'exécuter « npm install ». Lors de l'installation, le logiciel malveillant, dissimulé dans une dépendance appelée « clob-client-math », s'exécutait.

Le logiciel malveillant vole de nombreuses données sensibles, notamment : 

  • Données de portefeuilles crypto provenant de MetaMask, Phantom, Coinbase Wallet, TrustWallet et autres.
  • Données de navigation telles que les mots de passe enregistrés et les cookies de Chrome, Firefox et Brave.
  • Clés SSH, informations de connexion AWS, jetons npm et PyPI.
  • Données provenant de gestionnaires de mots de passe tels que Bitwarden, KeePass et 1Password.
  • Clés privées et jetons d'API.

Que faire si vous avez téléchargé un faux bot ?

Des experts en sécurité pensent que des pirates informatiques nord-coréens sont à l'origine de cette attaque. Ce groupe mène une campagne de plus grande envergure, baptisée « Contagious Trader », qui cible les développeurs de cryptomonnaies.

Cryptopolitan a signalé que des pirates informatiques avaient pris le contrôle du compte d'un développeur d'Axios et publié des paquets npm malveillants. En mai, un compte compromis a permis de s'emparer de 323 paquets en moins de 30 minutes.

Les utilisateurs de Polymarket ont également subi d'autres attaques cette année, comme lorsqu'à la fin du mois de juin, une escroquerie par hameçonnage a permis de dérober 2,94 millions de dollars à au moins 11 comptes.

SafeDep indique que tout ordinateur ayant exécuté la commande « npm install » sur le faux bot doit être considéré comme piraté. Il est conseillé aux personnes concernées de renouveler immédiatement toutes leurs clés de portefeuille crypto, de modifier tous les mots de passe enregistrés dans leur navigateur et de remplacer tous leursdentAWS, clés SSH et jetons d'API.

Il est également conseillé aux traders de vérifier leurs fichiers de verrouillage npm afin de détecter la présence de 30 paquets malveillants. Pour ce faire, ils doivent rechercher les dépendances figurant dans le fichier package.json mais jamais utilisées dans le code. Dans le cas de cette attaque, le fichier « package.json » du dépôt listait quatre dépendances, mais seules trois (le SDK officiel de Polymarket, ethers et dotenv) étaient légitimes. La quatrième, clob-client-math, qui dissimulait le logiciel malveillant, n'a jamais été importée dans le code source du bot.

La meilleure défense consiste à vérifier si les paquets proviennent de nouveaux comptes sans historique de publication, car tous les faux paquets ont été publiés par des comptes flambant neufs.

Ne vous contentez pas de lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.

Connectez-vous pour répondre

Connectez-vous pour partager votre avis
Les articles de ce site proviennent de sources publiques ou sont organisés avec l’aide de l’IA à des fins purement informatives et ne représentent pas les opinions de BTCC. Les droits originaux appartiennent à leurs auteurs respectifs. Pour toute question de droits d’auteur, veuillez contacter [email protected] . BTCC n’assume aucune responsabilité quant à l’exactitude, l’actualité ou l’exhaustivité de ces informations et décline toute responsabilité découlant de l’utilisation de ce contenu. Ce contenu est fourni à titre de référence uniquement et ne doit pas être considéré comme un conseil en investissement, juridique ou commercial.

|Square

Obtenez l'application BTCC pour commencer votre expérience avec les cryptomonnaies

Commencer aujourd'hui Scannez pour rejoindre nos + de 100 millions d’utilisateurs