DeFi 개발자와 Polymarket 거래 봇 사용자를 대상으로 한 새로운 정보 탈취 npm 패키지가 등장했습니다

- 공격자들은 GitHub에 가짜 Polymarket 차익거래 봇을 만들어 숨겨진 npm 종속성을 통해 신용dent탈취 악성코드를 설치했습니다.
- 10개의 npm 계정에 걸쳐 있는 30개의 악성 패키지는 암호화폐 지갑, 브라우저dent증명, 개발자 비밀 정보 및 암호 관리자 데이터베이스를 표적으로 삼습니다.
- 해당 저장소가 문제 있는 것으로 표시되기 전에 최소 53명의 개발자가 저장소를 포크했습니다.
해커들이 GitHub에 Polymarket의 예측 시장을 위한 가짜 거래 봇을 만들었습니다. 이 봇은 지갑 키와 브라우저 비밀번호 같은dent증명을 훔치는 악성 소프트웨어를 유포하는 데 사용되었습니다.
여러 npm 계정에서 30개의 악성 패키지가 발견되었으며, 자동화 전략을 사용하는 개발자와 트레이더를 표적으로 삼은 것으로 알려졌습니다. 최소 53명의 개발자가 이 함정에 빠진 후 문제가 발견되었습니다.
가짜 봇이 어떻게 53명이 넘는 개발자에게 퍼졌을까요?
2026년 7월 1일, 보안 회사 SlowMist는 Polymarket에서 큰 수익을 약속하는 가짜 거래 봇을 발견했는데, 이는 실제로는 악성코드를 유포하는 도구에 불과했습니다. SafeDep은 여러 계정에 걸쳐 퍼져 있고 하나의 가짜 GitHub 저장소와 연결된 30개의 악성 npm 패키지를 발견했습니다
범죄자들은 연간 8만 달러 이상을 벌 수 있다고 주장하는 "폴리마켓 차익거래 봇"을 게시했습니다. 이 봇은 사기 행각이 드러나기 전까지 별점 36개와 포크 53개를 받았습니다. 해당 봇을 다운로드하고 설치한 모든 개발자는 악성코드를 실행한 것으로 밝혀졌습니다.
공격자들은 실제 거래 봇들이 폴리마켓에서 엄청난 돈을 벌었다는 사실을 알고 있었습니다 .
시장 예측 분석 업체인 덱스터스 랩(Dexter's Lab)이 분석한 한 봇은 단 한 달 만에 313달러를 41만 4천 달러로 불렸고, 연구원 이고르 미케린(Igor Mikerin)이 분석한 또 다른 봇은 두 달 만에 220만 달러를 벌어들였습니다. trac실적은 손쉬운 수익을 노리는 투자자들에게 가짜 봇이 그럴듯하게 보이도록 만들었습니다.
이 가짜 거래 봇의 설치 지침에는 사용자가 "npm install"을 실행하기 전에 Polymarket 개인 키를 .env 파일에 입력하라는 내용이 포함되어 있었습니다. 설치 과정에서 "clob-client-math"라는 종속성 안에 숨겨진 악성코드가 실행되었습니다.
해당 악성 소프트웨어는 다음과 같은 많은 민감한 데이터를 훔칩니다
- MetaMask, Phantom, Coinbase Wallet, TrustWallet 등 다양한 암호화폐 지갑의 데이터입니다.
- 크롬, 파이어폭스, 브레이브 등의 브라우저에 저장된 비밀번호와 쿠키 등의 데이터.
- SSH 키, AWS 로그인 정보, npm 및 PyPI 토큰.
- Bitwarden, KeePass, 1Password와 같은 비밀번호 관리자의 데이터.
- 개인 키 및 API 토큰.
가짜 봇을 다운로드했다면 어떻게 해야 할까요?
보안 연구원들은 이번 공격의 배후에 북한 해커들이 있다고 보고 있습니다. 이들은 암호화폐 개발자들을 겨냥한 "전염성 거래자(Contagious Trader)"라는 대규모 공격 캠페인을 벌이고 있습니다.
Cryptopolitan 보도했습니다 . 5월에는 해킹당한 한 계정을 이용해 30분도 채 안 되는 시간 동안 323개의 패키지를 배포했습니다.
폴리마켓 사용자들은 올해 다른 공격에도 직면했는데, 예를 들어 6월 말에는 피싱 사기로 최소 11개 계정에서 294만 달러가 빠져나갔습니다.
SafeDep은 가짜 봇에서 "npm install"을 실행한 모든 컴퓨터는 해킹당한 것으로 간주해야 한다고 밝혔습니다. 해당 사용자들은 모든 암호화폐 지갑 키를 즉시 교체하고, 브라우저에 저장된 모든 비밀번호를 변경하고, 모든 AWSdent증명, SSH 키 및 API 토큰을 교체할 것을 권고합니다.
거래자들은 npm lock 파일에서 package.json에 나타나지만 코드에서 전혀 사용되지 않는 종속성을 찾아 30개의 악성 패키지를 확인해야 합니다. 이번 공격에 사용된 저장소의 package.json에는 4개의 종속성이 나열되어 있었지만, 그중 3개(공식 Polymarket SDK, ethers, dotenv)만 정상적인 것이었습니다. 악성코드를 숨기는 데 사용된 네 번째 종속성인 clob-client-math는 봇의 소스 코드 어디에서도 임포트되지 않았습니다.
가장 좋은 방어책은 패키지가 게시 이력이 없는 새 계정에서 발송되었는지 확인하는 것입니다. 가짜 패키지는 모두 새로 만들어진 계정에서 게시되었기 때문입니다.
암호화폐 뉴스를 단순히 읽는 데 그치지 마세요. 이해하세요. 저희 뉴스레터를 구독하세요. 무료입니다.
자주 묻는 질문
가짜 폴리마켓 차익거래 봇이란 무엇인가요?
SafeDep의 조사에 따르면, 해당 GitHub 저장소(Trum3it/polymarket-arbitrage-bot)는 Polymarket의 예측 시장을 위한 TypeScript 거래 봇으로 위장했지만, 개발자가 `npm install`을 실행할 때 정보 탈취 프로그램을 설치하는 악성 npm 종속성인 `clob-client-math`를 포함하고 있었습니다.
정보 탈취범은 어떤 데이터를 수집하나요?
이 악성 소프트웨어는 MetaMask 및 Phantom을 포함한 8개 주요 암호화폐 지갑의 지갑 저장소, 브라우저 쿠키 및 암호, SSH 키, AWSdent증명, npm 및 PyPI 토큰, Docker 구성, 셸 기록, 그리고 Bitwarden, KeePass 및 1Password의 암호 관리자 데이터베이스를 표적으로 삼습니다.
개발자는 자신들이 영향을 받았는지 어떻게 확인할 수 있나요?
해당 저장소를 복제한 개발자는 npm lock 파일에서 이번 공격에서dent30개 패키지 중 어떤 것이 포함되어 있는지 검사하고, 감염된 시스템에 저장된 모든dent증명과 개인 키를 교체하고, `package.json` 파일에서 소스 코드에 선언되었지만 실제로 임포트되지 않은 종속성이 있는지 확인해야 합니다.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.tron권장합니다dent .

한나 콜리모어
한나는 암호화폐 분야에서 10년 가까이 블로그를 운영하고 행사를 취재해 온 작가 겸 편집자입니다. Cryptopolitan에서 뉴스 페이지에 기고하며, 탈중앙화 DeFi), 반응형 웹 자산(RWA), 암호화폐 규제, 인공지능(AI) 및 첨단 기술 산업의 최신 동향을 보도하고 분석합니다. 아카디아 대학교에서 경영학 학위를 받았습니다.
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)
















