攻擊者通過 npm 包向 Polymarket 交易機器人用戶和 DeFi 開發者傳播信息竊取程序。
黑客在GitHub上爲Polymarket的預測市場創建了一個虛假的交易機器人。該機器人被用於傳播dent軟件,竊取錢包密鑰和瀏覽器密碼等憑證。.
據報道,在多個 npm 賬戶中發現了 30 個惡意軟件包,其目標似乎是使用自動化交易策略的開發者和交易員。在惡意軟件被標記之前,至少有 53 名開發者落入了陷阱。.
一個虛假機器人是如何傳播到超過 53 位開發者的?
2026年7月1日,安全公司 SlowMist發現了 一個虛假的交易機器人,該機器人聲稱在Polymarket上提供高額利潤,但實際上只是惡意軟件的傳播工具。SafeDep在該機器人中 發現了 30個惡意npm包,這些包分佈在多個賬戶中,並與一個虛假的GitHub倉庫相關聯。
犯罪分子發佈了一個名爲“polymarket-arbitrage-bot”的程序,聲稱每年可賺取超過 8 萬美元。在騙局被揭穿之前,該程序獲得了 36 個星標和 53 個分支。所有下載並安裝該程序的開發者都運行了惡意軟件。.
攻擊者很清楚,真正的交易機器人已經 在 Polymarket 上賺了大錢。
預測市場分析機構Dexter's Lab分析的一款機器人,在一個月內就將313美元變成了41.4萬美元;而研究員Igor Mikerin分析的另一款機器人,在兩個月內賺了220萬美元。這些 trac的業績讓那些追逐快速盈利的交易員們相信了這些虛假機器人。.
這個虛假交易機器人的安裝說明要求用戶在運行“npm install”之前,將他們的 Polymarket 私鑰放入一個 .env 文件中。安裝過程中,隱藏在名爲“clob-client-math”的依賴項中的惡意軟件就會運行。.
該惡意軟件會竊取大量敏感數據,包括:
- 來自 MetaMask、Phantom、Coinbase Wallet、TrustWallet 等的加密錢包數據。.
- 來自 Chrome、Firefox 和 Brave 的瀏覽器數據,例如已保存的密碼和 cookie。.
- SSH 密鑰、AWS 登錄信息、npm 和 PyPI 令牌。.
- 來自 Bitwarden、KeePass 和 1Password 等密碼管理器的數據。.
- 私鑰和API令牌。.
如果你下載了虛假機器人該怎麼辦?
安全研究人員認爲,此次攻擊是由朝鮮黑客所爲。該組織正在開展一項名爲“傳染性交易者”(Contagious Trader)的大規模攻擊活動,目標是加密貨幣開發者。.
Cryptopolitan 報道 稱,黑客入侵了一位 Axios 開發者的賬戶,併發布了惡意 npm 包。五月份,一個被盜賬戶在不到 30 分鐘的時間內就控制了 323 個軟件包。
今年,Polymarket 用戶還面臨其他攻擊,例如在 6 月下旬,一起 網絡釣魚詐騙案 從至少 11 個賬戶中竊取了 294 萬美元。
SafeDep表示,任何在虛假機器人上運行過“npm install”命令的計算機都應視爲已被黑客入侵。建議此類用戶立即輪換所有加密錢包密鑰,更改瀏覽器中存儲的所有密碼,並更換所有AWSdent、SSH密鑰和API令牌。.
交易者還應檢查其 npm lock 文件,查找 package.json 中出現但代碼中從未使用的依賴項,以識別這 30 個惡意軟件包。此次攻擊中,倉庫的 package.json 文件列出了四個依賴項,但只有三個(官方 Polymarket SDK、以太坊和 dotenv)是合法的。第四個依賴項 clob-client-math 隱藏了惡意軟件,從未在殭屍程序的源代碼中被導入。.
最好的防禦措施是檢查包裹是否來自沒有發佈歷史的新帳戶,因爲所有虛假包裹都是由全新帳戶發佈的。.
不要只是閱讀加密貨幣新聞,要理解它。訂閱我們的新聞簡報, 完全免費。







