tradingkey.logo
tradingkey.logo
검색

공격자들이 npm 패키지를 통해 Polymarket 거래 봇 사용자 및 DeFi 개발자에게 정보 탈취 악성코드를 유포했습니다

CryptopolitanJul 1, 2026 2:53 PM
facebooktwitterlinkedin
모든 코멘트 보기0

해커들이 GitHub에 Polymarket의 예측 시장을 위한 가짜 거래 봇을 만들었습니다. 이 봇은 지갑 키와 브라우저 비밀번호 같은dent증명을 훔치는 악성 소프트웨어를 유포하는 데 사용되었습니다.

여러 npm 계정에서 30개의 악성 패키지가 발견되었으며, 자동화 전략을 사용하는 개발자와 트레이더를 표적으로 삼은 것으로 알려졌습니다. 최소 53명의 개발자가 이 함정에 빠진 후 문제가 발견되었습니다.

가짜 봇이 어떻게 53명이 넘는 개발자에게 퍼졌을까요?

2026년 7월 1일, 보안 회사 SlowMist는 Polymarket에서 큰 수익을 약속하는 가짜 거래 봇을 발견했는데, 이는 실제로는 악성코드를 유포하는 도구에 불과했습니다. SafeDep은 여러 계정에 걸쳐 퍼져 있고 하나의 가짜 GitHub 저장소와 연결된 30개의 악성 npm 패키지를 발견했습니다

범죄자들은 연간 8만 달러 이상을 벌 수 있다고 주장하는 "폴리마켓 차익거래 봇"을 게시했습니다. 이 봇은 사기 행각이 드러나기 전까지 별점 36개와 포크 53개를 받았습니다. 해당 봇을 다운로드하고 설치한 모든 개발자는 악성코드를 실행한 것으로 밝혀졌습니다.

공격자들은 실제 거래 봇들이 폴리마켓에서 엄청난 돈을 벌었다는 사실을 알고 있었습니다 .

시장 예측 분석 업체인 덱스터스 랩(Dexter's Lab)이 분석한 한 봇은 단 한 달 만에 313달러를 41만 4천 달러로 불렸고, 연구원 이고르 미케린(Igor Mikerin)이 분석한 또 다른 봇은 두 달 만에 220만 달러를 벌어들였습니다. trac실적은 손쉬운 수익을 노리는 투자자들에게 가짜 봇이 그럴듯하게 보이도록 만들었습니다.

이 가짜 거래 봇의 설치 지침에는 사용자가 "npm install"을 실행하기 전에 Polymarket 개인 키를 .env 파일에 입력하라는 내용이 포함되어 있었습니다. 설치 과정에서 "clob-client-math"라는 종속성 안에 숨겨진 악성코드가 실행되었습니다.

해당 악성 소프트웨어는 다음과 같은 많은 민감한 데이터를 훔칩니다 

  • MetaMask, Phantom, Coinbase Wallet, TrustWallet 등 다양한 암호화폐 지갑의 데이터입니다.
  • 크롬, 파이어폭스, 브레이브 등의 브라우저에 저장된 비밀번호와 쿠키 등의 데이터.
  • SSH 키, AWS 로그인 정보, npm 및 PyPI 토큰.
  • Bitwarden, KeePass, 1Password와 같은 비밀번호 관리자의 데이터.
  • 개인 키 및 API 토큰.

가짜 봇을 다운로드했다면 어떻게 해야 할까요?

보안 연구원들은 이번 공격의 배후에 북한 해커들이 있다고 보고 있습니다. 이들은 암호화폐 개발자들을 겨냥한 "전염성 거래자(Contagious Trader)"라는 대규모 공격 캠페인을 벌이고 있습니다.

Cryptopolitan 보도했습니다 . 5월에는 해킹당한 한 계정을 이용해 30분도 채 안 되는 시간 동안 323개의 패키지를 배포했습니다.

폴리마켓 사용자들은 올해 다른 공격에도 직면했는데, 예를 들어 6월 말에는 피싱 사기로 최소 11개 계정에서 294만 달러가 빠져나갔습니다.

SafeDep은 가짜 봇에서 "npm install"을 실행한 모든 컴퓨터는 해킹당한 것으로 간주해야 한다고 밝혔습니다. 해당 사용자들은 모든 암호화폐 지갑 키를 즉시 교체하고, 브라우저에 저장된 모든 비밀번호를 변경하고, 모든 AWSdent증명, SSH 키 및 API 토큰을 교체할 것을 권고합니다.

거래자들은 npm lock 파일에서 package.json에 나타나지만 코드에서 전혀 사용되지 않는 종속성을 찾아 30개의 악성 패키지를 확인해야 합니다. 이번 공격에 사용된 저장소의 package.json에는 4개의 종속성이 나열되어 있었지만, 그중 3개(공식 Polymarket SDK, ethers, dotenv)만 정상적인 것이었습니다. 악성코드를 숨기는 데 사용된 네 번째 종속성인 clob-client-math는 봇의 소스 코드 어디에서도 임포트되지 않았습니다.

가장 좋은 방어책은 패키지가 게시 이력이 없는 새 계정에서 발송되었는지 확인하는 것입니다. 가짜 패키지는 모두 새로 만들어진 계정에서 게시되었기 때문입니다.

암호화폐 뉴스를 단순히 읽는 데 그치지 마세요. 이해하세요. 저희 뉴스레터를 구독하세요. 무료입니다.

면책 조항: 이 웹사이트에서 제공되는 정보는 교육적이고 정보 제공을 위한 목적으로만 사용되며, 금융 또는 투자 조언으로 간주되어서는 안 됩니다.

코멘트 (0)

$ 버튼을 클릭하고, 종목 코드를 입력한 후 주식, ETF 또는 기타 티커를 연결합니다.

0/500
코멘트 가이드라인
로딩 중...

추천 기사