NEUESTE NACHRICHTEN
FÜR SIE AUSGEWÄHLT

DeFi -Entwickler und Nutzer des Polymarket-Handelsbots ins Visier eines neuen npm-Pakets zum Datendiebstahl

VonHannah CollymoreHannah Collymore
2 Minuten gelesen,
DeFiund Nutzer des Polymarket-Handelsbots ins Visier eines neuen npm-Pakets zum Datendiebstahl genommen
  • Angreifer erstellten auf GitHub einen gefälschten Polymarket-Arbitrage-Bot, der über eine versteckte npm-Abhängigkeit Malware zum Diebstahl vondentinstallierte.
  • Die 30 bösartigen Pakete, die über zehn npm-Konten verteilt sind, zielen auf Krypto-Wallets, Browser-dent, Entwicklergeheimnisse und Passwortmanager-Datenbanken ab.
  • Mindestens 53 Entwickler haben das Repository geforkt, bevor es beanstandet wurde.

Hacker erstellten auf GitHub einen gefälschten Trading-Bot für die Prognosemärkte von Polymarket. Dieser Bot wurde verwendet, um Schadsoftware zu verbreiten, diedentwie Wallet-Schlüssel und Browserpasswörter stiehlt.

Auf mehreren npm-Konten wurden 30 schädliche Pakete entdeckt, die offenbar Entwickler und Händler mit automatisierten Strategien ins Visier nahmen. Mindestens 53 Entwickler fielen darauf herein, bevor die Schadsoftware entdeckt wurde.

Wie konnte sich ein gefälschter Bot auf über 53 Entwickler verbreiten?

Am 1. Juli 2026 meldete das Sicherheitsunternehmen SlowMist einen gefälschten Trading-Bot, der hohe Gewinne auf Polymarket versprach, tatsächlich aber nur als Verbreitungsmedium für Schadsoftware diente. SafeDep entdeckte 30 schädliche npm-Pakete, die auf mehrere Konten verteilt und mit einem gefälschten GitHub-Repository verknüpft waren.

Die Kriminellen veröffentlichten einen „Polymarket-Arbitrage-Bot“, der angeblich über 80.000 US-Dollar pro Jahr einbringen sollte. Er erhielt 36 Sterne und 53 Abspaltungen, bevor der Betrug aufflog. Jeder Entwickler, der ihn herunterlud und installierte, führte die Schadsoftware aus.

Den Angreifern war bewusst, dass echte Trading-Bots auf Polymarket enorme Gewinne erzielt.

Ein von Dexter's Lab, einem Marktforschungsunternehmen für Prognosemärkte, untersuchter Bot vermehrte sein Kapital innerhalb eines Monats von 313 auf 414.000 US-Dollar, während ein anderer, von Igor Mikerin analysierter Bot in zwei Monaten 2,2 Millionen US-Dollar erwirtschaftete. Diese tracließ den gefälschten Bot für Händler, die auf der Suche nach schnellen Gewinnen waren, glaubwürdig erscheinen.

Die Anleitung für diesen gefälschten Trading-Bot beinhaltete, dass die Benutzer ihren privaten Polymarket-Schlüssel in eine .env-Datei einfügen mussten, bevor sie „npm install“ ausführten. Während der Installation wurde die Malware ausgeführt, die in einer Abhängigkeit namens „clob-client-math“ versteckt war.

Die Schadsoftware stiehlt zahlreiche sensible Daten, darunter: 

  • Daten von Krypto-Wallets wie MetaMask, Phantom, Coinbase Wallet, TrustWallet und anderen.
  • Browserdaten wie gespeicherte Passwörter und Cookies von Chrome, Firefox und Brave.
  • SSH-Schlüssel, AWS-Anmeldedaten, npm- und PyPI-Tokens.
  • Daten von Passwortmanagern wie Bitwarden, KeePass und 1Password.
  • Private Schlüssel und API-Token.

Was sollten Sie tun, wenn Sie den gefälschten Bot heruntergeladen haben?

Sicherheitsforscher vermuten, dass nordkoreanische Hacker hinter diesem Angriff stecken. Die Gruppe führt eine größere Kampagne namens „Contagious Trader“ durch, die sich gegen Krypto-Entwickler richtet.

Cryptopolitan berichtete im März, dass Hacker das Entwicklerkonto von Axios übernommen und schädliche npm-Pakete veröffentlicht hatten. Im Mai wurden mit einem kompromittierten Konto innerhalb von weniger als 30 Minuten über 323 Pakete installiert.

Die Nutzer von Polymarket waren in diesem Jahr auch anderen Angriffen ausgesetzt, beispielsweise als Ende Juni bei einem Phishing-Betrug 2,94 Millionen Dollar von mindestens 11 Konten abgezweigt wurden.

SafeDep warnt davor, dass jeder Computer, auf dem der Befehl „npm install“ auf dem gefälschten Bot ausgeführt wurde, als gehackt gilt. Betroffenen wird empfohlen, umgehend alle Krypto-Wallet-Schlüssel zu wechseln, alle im Browser gespeicherten Passwörter zu ändern und alle AWS-dent, SSH-Schlüssel und API-Token zu ersetzen.

Händlern wird außerdem empfohlen, ihre npm-Sperrdateien auf die 30 schädlichen Pakete zu überprüfen. Dabei sollten sie nach Abhängigkeiten suchen, die zwar in der package.json aufgeführt sind, aber im Code nie verwendet werden. Die package.json des Repositorys in diesem Angriff listete vier Abhängigkeiten auf, von denen jedoch nur drei (das offizielle Polymarket SDK, ethers und dotenv) legitim waren. Die vierte, clob-client-math, die die Schadsoftware verbarg, wurde im Quellcode des Bots nirgends importiert.

Die beste Verteidigung ist die Überprüfung, ob die Pakete von neuen Accounts ohne Veröffentlichungshistorie stammen, da alle gefälschten Pakete von brandneuen Accounts veröffentlicht wurden.

Lesen Sie Krypto-News nicht nur, sondern verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.

Häufig gestellte Fragen

Was ist der gefälschte Polymarket-Arbitrage-Bot?

Es handelt sich um ein GitHub-Repository (Trum3it/polymarket-arbitrage-bot), das sich als TypeScript-Handelsbot für die Vorhersagemärkte von Polymarket ausgab, aber eine bösartige npm-Abhängigkeit namens `clob-client-math` enthielt, die beim Ausführen von `npm install` durch die Entwickler einen Infostealer installierte, wie die Untersuchung von SafeDep ergab.

Welche Daten sammelt der Infostealer?

Die Malware zielt auf Krypto-Wallet-Tresore von acht großen Wallets, darunter MetaMask und Phantom, Browser-Cookies und Passwörter, SSH-Schlüssel, AWS-dent, npm- und PyPI-Token, Docker-Konfigurationen, Shell-Verlauf und Passwort-Manager-Datenbanken von Bitwarden, KeePass und 1Password ab.

Wie können Entwickler überprüfen, ob sie betroffen sind?

Entwickler, die das Repository geklont haben, sollten ihre npm-Sperrdateien auf eines der 30 im Rahmen der KampagnedentPakete überprüfen, alle auf dem betroffenen Rechner gespeichertendentund privaten Schlüssel rotieren und ihre `package.json` auf Abhängigkeiten überprüfen, die zwar deklariert, aber nie im Quellcode importiert wurden.

Diesen Artikel teilen

Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren

Hannah Collymore

Hannah Collymore

Hannah ist Autorin und Redakteurin mit fast zehn Jahren Erfahrung im Bloggen und der Eventberichterstattung im Kryptobereich. Bei Cryptopolitanschreibt sie für die Nachrichtenseite und berichtet und analysiert die neuesten Entwicklungen in den Bereichen DeFi, RWA, Kryptoregulierung, KI und Zukunftstechnologien. Sie hat an der Arcadia University Betriebswirtschaftslehre studiert.

MEHR … NACHRICHTEN
DEEP CRYPTO
CRASH-KURS