自选
我的自选
查看全部
市值 价格 24h%
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

攻击者通过npm包向Polymarket交易机器人用户及DeFi开发者投递信息窃取恶意软件

2026-07-01 23:42:50
收藏

黑客在Polymarket上创建虚假交易机器人,植入窃密恶意软件

黑客在GitHub上创建了一个虚假的Polymarket预测市场交易机器人。该机器人被用来传播恶意软件,窃取钱包密钥、浏览器密码等登录凭证。研究人员在多个npm账户中发现了30个恶意软件包,这些包主要针对使用自动化策略的开发者和交易者。在问题被标记之前,至少有53名开发者上当受骗。

一个虚假机器人如何感染超过53名开发者?

2026年7月1日,安全公司SlowMist标记了一个虚假交易机器人,该机器人号称能在Polymarket上带来丰厚收益,但实际上只是一个传播恶意软件的载体。SafeDep发现,30个恶意的npm包分布在多个账户中,并关联到一个虚假的GitHub仓库。

犯罪分子发布了一个名为“polymarket-arbitrage-bot”的机器人,声称每年可赚取超过8万美元。在骗局曝光前,该项目获得了36颗星和53次分叉。所有下载并安装该机器人的开发者都会运行恶意软件。攻击者深知,真实的交易机器人已在Polymarket上赚取了巨额利润。预测市场分析师Dexter's Lab分析的一个机器人曾在一个月内将313美元变成41.4万美元;另一名研究员Igor Mikerin分析的机器人则在两个月内赚了220万美元。这样的业绩记录使得这个虚假机器人对那些追逐轻松盈利的交易者来说颇具可信度。

这个虚假交易机器人的安装说明要求用户在运行“npm install”之前,将自己的Polymarket私钥放入一个.env文件中。在安装过程中,隐藏在名为“clob-client-math”的依赖项中的恶意软件会被执行。该恶意软件会窃取大量敏感数据,包括:MetaMask、Phantom、Coinbase Wallet、TrustWallet等加密货币钱包数据;Chrome、Firefox和Brave浏览器中保存的密码和Cookie;SSH密钥、AWS登录信息、npm和PyPI令牌;Bitwarden、KeePass和1Password等密码管理器的数据;以及私钥和API令牌。

如果你下载了虚假机器人,应该怎么办?

安全研究人员认为,这次攻击背后是朝鲜黑客组织。该组织正在开展一项名为“Contagious Trader”的大型活动,目标锁定加密货币开发者。今年3月,黑客接管了一位Axios开发者的账户并发布了恶意的npm包。5月,一个被入侵的账户在不到30分钟内控制了323个软件包。此外,Polymarket用户今年还遭遇了其他攻击,例如6月底,一次钓鱼诈骗从至少11个账户中盗走了294万美元。

SafeDep表示,任何运行过该虚假机器人“npm install”命令的计算机都应视为已被入侵。建议相关人士立即轮换所有加密货币钱包密钥,更改浏览器中存储的每个密码,并更换所有AWS凭证、SSH密钥和API令牌。交易者还应检查自己的npm锁文件,查找那30个恶意包——具体方法是寻找那些出现在package.json中但从未在代码中使用的依赖项。在此次攻击中,仓库的“package.json”列出了四个依赖项,但只有三个(官方的Polymarket SDK、ethers和dotenv)是合法的。第四个名为“clob-client-math”,隐藏了恶意软件,在机器人的源代码中从未被导入。

最好的防御措施是检查软件包是否来自没有发布历史的新账户——所有这些虚假包都是由全新账户发布的。

展开阅读全文
更多新闻