DeFi 開発者とPolymarketのトレーディングボットユーザーが、新たな情報窃盗型npmパッケージの標的に

- 攻撃者はGitHub上に偽のPolymarketアービトラージボットを作成し、隠されたnpm依存関係を通じて認証dent窃盗マルウェアをインストールした。.
- 10個のnpmアカウントに分散して存在する30個の悪意のあるパッケージは、暗号通貨ウォレット、ブラウザのdent情報、開発者の秘密情報、およびパスワードマネージャーのデータベースを標的としている。.
- 少なくとも53人の開発者が、問題視される前にそのリポジトリをフォークしていた。.
ハッカーがGitHub上でPolymarketの予測市場を装った偽の取引ボットを作成した。このボットは、ウォレットキーやブラウザのパスワードなどのdent情報を盗むマルウェアを拡散するために使用された。.
複数のnpmアカウントで30個の悪質なパッケージが発見された。これらのパッケージは、自動売買戦略を利用する開発者やトレーダーを標的にしていたと報じられている。少なくとも53人の開発者が、この罠に引っかかった後、問題が発覚した。.
偽ボットはどのようにして53人以上の開発者に拡散したのか?
2026年7月1日、セキュリティ企業の SlowMistは 、Polymarketで大きな利益を約束する偽の取引ボットを発見した。このボットは実際にはマルウェアの配信ツールに過ぎなかった。SafeDep は 、複数のアカウントに分散し、1つの偽のGitHubリポジトリに関連付けられた30個の悪意のあるnpmパッケージを発見した。
犯人たちは、年間8万ドル以上稼げると謳う「polymarket-arbitrage-bot」を公開した。詐欺が発覚する前に、このボットは36個のスターと53回のフォークを獲得していた。ダウンロードしてインストールした開発者は全員、マルウェアを実行していた。.
攻撃者たちは、本物のトレーディングボットがPolymarketで巨額の利益を上げているという事実を認識していた 。
予測市場アナリストのデクスターズ・ラボが分析したあるボットは、わずか1ヶ月で313ドルを41万4000ドルに増やし、研究者のイゴール・ミケリンが分析した別のボットは、2ヶ月で220万ドルを稼ぎ出した。こうした tracは、手っ取り早く利益を得ようとするトレーダーにとって、この偽ボットを信憑性のあるものに見せてしまった。.
この偽トレーディングボットの手順には、ユーザーが「npm install」を実行する前に、Polymarketの秘密鍵を.envファイルに記述することが含まれていました。インストール中に、「clob-client-math」という依存関係の中に隠されたマルウェアが実行されます。.
このマルウェアは、以下のような多くの機密データを盗み出します。
- MetaMask、Phantom、Coinbase Wallet、TrustWalletなどの暗号通貨ウォレットデータ。.
- Chrome、Firefox、Braveなどのブラウザに保存されたパスワードやCookieなどのブラウザデータ。.
- SSHキー、AWSログイン情報、npmおよびPyPIトークン。.
- Bitwarden、KeePass、1Passwordなどのパスワードマネージャーからのデータ。.
- 秘密鍵とAPIトークン。.
偽のボットをダウンロードしてしまった場合、どうすればよいですか?
セキュリティ研究者らは、今回の攻撃の背後には北朝鮮のハッカーがいると考えている。このグループは「Contagious Trader」と呼ばれる大規模な攻撃キャンペーンを展開しており、仮想通貨開発者を標的にしている。.
Cryptopolitan 報じた 3月、ハッカーがAxios開発者のアカウントを乗っ取り、悪意のあるnpmパッケージを公開したと
Polymarketのユーザーは今年、他にも様々な攻撃に直面しており、例えば6月下旬には、 フィッシング詐欺によって 少なくとも11のアカウントから294万ドルが盗まれた。
SafeDepは、偽ボット上で「npm install」を実行したコンピューターはすべてハッキングされたものとして扱うべきだと述べています。そのようなユーザーは、すべての暗号通貨ウォレットキーを直ちにローテーションし、ブラウザに保存されているすべてのパスワードを変更し、すべてのAWSdent情報、SSHキー、およびAPIトークンを交換するよう推奨されています。.
トレーダーは、npm ロック ファイルをチェックして、package.json に記載されているもののコード内で使用されていない依存関係を探すことで、30 個の悪意のあるパッケージがないか確認することも推奨されます。今回の攻撃で使用されたリポジトリの「package.json」には 4 つの依存関係が記載されていましたが、そのうち正当なものは 3 つ (公式の Polymarket SDK、ethers、および dotenv) のみでした。マルウェアを隠蔽していた 4 番目の clob-client-math は、ボットのソース コードのどこにもインポートされていませんでした。.
最善の対策は、パッケージが投稿履歴のない新規アカウントから送信されていないかを確認することです。偽のパッケージはすべて、全く新しいアカウントから投稿されていました。.
仮想通貨ニュースを読むだけでなく、理解を深めましょう。ニュースレターにご登録ください。 無料です。
よくある質問
偽のPolymarketアービトラージボットとは何ですか?
SafeDepの調査によると、これはGitHubリポジトリ(Trum3it/polymarket-arbitrage-bot)であり、Polymarketの予測市場向けのTypeScriptトレーディングボットを装っていたが、開発者が`npm install`を実行すると情報窃盗プログラムをインストールする`clob-client-math`という悪意のあるnpm依存関係が含まれていた。.
情報窃盗犯はどのようなデータを収集するのか?
このマルウェアは、MetaMaskやPhantomを含む8つの主要なウォレットの暗号通貨ウォレット保管庫、ブラウザのCookieとパスワード、SSHキー、AWSdent情報、npmおよびPyPIトークン、Docker設定、シェル履歴、Bitwarden、KeePass、1Passwordのパスワードマネージャーデータベースを標的としています。.
開発者は自分が影響を受けたかどうかをどのように確認できますか?
リポジトリをクローンした開発者は、キャンペーンでdent30 個のパッケージのいずれかが npm ロック ファイルに含まれているかどうかを確認し、影響を受けたマシンに保存されていたすべてのdent情報と秘密鍵をローテーションし、ソース コードで宣言されているもののインポートされていない依存関係がないか `package.json` を監査する必要があります。.
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を

ハンナ・コリモア
ハンナは、暗号資産分野で10年近くにわたりブログ執筆やイベントレポートに携わってきたライター兼エディターです。Cryptopolitan Cryptopolitan、ニュースページに記事を寄稿し、 DeFi、RWA、暗号資産規制、AI、最先端技術産業における最新の動向をレポート・分析しています。アーカディア大学で経営学の学位を取得しています。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)
















