tradingkey.logo
tradingkey.logo
Suchen

Angreifer liefern Infostealer über npm-Pakete an Nutzer des Polymarket-Handelsbots und an DeFi Entwickler aus

CryptopolitanJul 1, 2026 2:53 PM
facebooktwitterlinkedin
Alle Kommentare anzeigen0

Hacker erstellten auf GitHub einen gefälschten Trading-Bot für die Prognosemärkte von Polymarket. Dieser Bot wurde verwendet, um Schadsoftware zu verbreiten, diedentwie Wallet-Schlüssel und Browserpasswörter stiehlt.

Auf mehreren npm-Konten wurden 30 schädliche Pakete entdeckt, die offenbar Entwickler und Händler mit automatisierten Strategien ins Visier nahmen. Mindestens 53 Entwickler fielen darauf herein, bevor die Schadsoftware entdeckt wurde.

Wie konnte sich ein gefälschter Bot auf über 53 Entwickler verbreiten?

Am 1. Juli 2026 meldete das Sicherheitsunternehmen SlowMist einen gefälschten Trading-Bot, der hohe Gewinne auf Polymarket versprach, tatsächlich aber nur als Verbreitungsmedium für Schadsoftware diente. SafeDep entdeckte 30 schädliche npm-Pakete, die auf mehrere Konten verteilt und mit einem gefälschten GitHub-Repository verknüpft waren.

Die Kriminellen veröffentlichten einen „Polymarket-Arbitrage-Bot“, der angeblich über 80.000 US-Dollar pro Jahr einbringen sollte. Er erhielt 36 Sterne und 53 Abspaltungen, bevor der Betrug aufflog. Jeder Entwickler, der ihn herunterlud und installierte, führte die Schadsoftware aus.

Den Angreifern war bewusst, dass echte Trading-Bots auf Polymarket enorme Gewinne erzielt.

Ein von Dexter's Lab, einem Marktforschungsunternehmen für Prognosemärkte, untersuchter Bot vermehrte sein Kapital innerhalb eines Monats von 313 auf 414.000 US-Dollar, während ein anderer, von Igor Mikerin analysierter Bot in zwei Monaten 2,2 Millionen US-Dollar erwirtschaftete. Diese tracließ den gefälschten Bot für Händler, die auf der Suche nach schnellen Gewinnen waren, glaubwürdig erscheinen.

Die Anleitung für diesen gefälschten Trading-Bot beinhaltete, dass die Benutzer ihren privaten Polymarket-Schlüssel in eine .env-Datei einfügen mussten, bevor sie „npm install“ ausführten. Während der Installation wurde die Malware ausgeführt, die in einer Abhängigkeit namens „clob-client-math“ versteckt war.

Die Schadsoftware stiehlt zahlreiche sensible Daten, darunter: 

  • Daten von Krypto-Wallets wie MetaMask, Phantom, Coinbase Wallet, TrustWallet und anderen.
  • Browserdaten wie gespeicherte Passwörter und Cookies von Chrome, Firefox und Brave.
  • SSH-Schlüssel, AWS-Anmeldedaten, npm- und PyPI-Tokens.
  • Daten von Passwortmanagern wie Bitwarden, KeePass und 1Password.
  • Private Schlüssel und API-Token.

Was sollten Sie tun, wenn Sie den gefälschten Bot heruntergeladen haben?

Sicherheitsforscher vermuten, dass nordkoreanische Hacker hinter diesem Angriff stecken. Die Gruppe führt eine größere Kampagne namens „Contagious Trader“ durch, die sich gegen Krypto-Entwickler richtet.

Cryptopolitan berichtete im März, dass Hacker das Entwicklerkonto von Axios übernommen und schädliche npm-Pakete veröffentlicht hatten. Im Mai wurden mit einem kompromittierten Konto innerhalb von weniger als 30 Minuten über 323 Pakete installiert.

Die Nutzer von Polymarket waren in diesem Jahr auch anderen Angriffen ausgesetzt, beispielsweise als Ende Juni bei einem Phishing-Betrug 2,94 Millionen Dollar von mindestens 11 Konten abgezweigt wurden.

SafeDep warnt davor, dass jeder Computer, auf dem der Befehl „npm install“ auf dem gefälschten Bot ausgeführt wurde, als gehackt gilt. Betroffenen wird empfohlen, umgehend alle Krypto-Wallet-Schlüssel zu wechseln, alle im Browser gespeicherten Passwörter zu ändern und alle AWS-dent, SSH-Schlüssel und API-Token zu ersetzen.

Händlern wird außerdem empfohlen, ihre npm-Sperrdateien auf die 30 schädlichen Pakete zu überprüfen. Dabei sollten sie nach Abhängigkeiten suchen, die zwar in der package.json aufgeführt sind, aber im Code nie verwendet werden. Die package.json des Repositorys in diesem Angriff listete vier Abhängigkeiten auf, von denen jedoch nur drei (das offizielle Polymarket SDK, ethers und dotenv) legitim waren. Die vierte, clob-client-math, die die Schadsoftware verbarg, wurde im Quellcode des Bots nirgends importiert.

Die beste Verteidigung ist die Überprüfung, ob die Pakete von neuen Accounts ohne Veröffentlichungshistorie stammen, da alle gefälschten Pakete von brandneuen Accounts veröffentlicht wurden.

Die klügsten Köpfe der Krypto-Szene lesen bereits unseren Newsletter. Möchten Sie auch dabei sein? Dann schließen Sie sich ihnen an.

Haftungsausschluss: Die auf dieser Website bereitgestellten Informationen dienen ausschließlich Bildungs- und Informationszwecken und stellen keine Finanz- oder Anlageberatung dar

Kommentare (0)

Klicken Sie auf die $-Schaltfläche, geben Sie das Symbol ein und wählen Sie eine Aktie, einen ETF oder einen anderen Ticker zum Verlinken aus.

0/500
Richtlinien für Kommentare
Wird geladen...

Empfohlene Artikel