ПОСЛЕДНИЕ НОВОСТИ
ПОДОБРАНО ДЛЯ ВАС

Разработчики DeFi и пользователи торгового бота Polymarket стали жертвами атаки с использованием нового npm-пакета, похищающего информацию

КХанна КоллиморХанна Коллимор
2 минуты чтения
Пользователи DeFiи торгового бота Polymarket стали мишенью для нового пакета npm, занимающегося кражей информации
  • Злоумышленники создали на GitHub поддельного арбитражного бота Polymarket, который устанавливалdentПО для кражи учетных данных через скрытую зависимость npm.
  • 30 вредоносных пакетов, распространяемых через десять учетных записей npm, нацелены на криптокошельки,dentданные браузера, секретные ключи разработчиков и базы данных менеджеров паролей.
  • По меньшей мере 53 разработчика создали форки репозитория до того, как он был помечен как проблемный.

Хакеры создали поддельного торгового бота для рынков прогнозов Polymarket на GitHub. Бот использовался для распространения вредоносного ПО, которое крадетdentданные, такие как ключи кошельков и пароли от браузеров.

В нескольких учетных записях npm было обнаружено 30 вредоносных пакетов, предположительно нацеленных на разработчиков и трейдеров, использующих автоматизированные стратегии. По меньшей мере 53 разработчика попались в ловушку, прежде чем она была обнаружена.

Как поддельный бот распространился среди более чем 53 разработчиков?

1 июля 2026 года компания по обеспечению безопасности SlowMist обнаружила поддельного торгового бота, который обещал большую прибыль на Polymarket, но на самом деле был всего лишь средством распространения вредоносного ПО. SafeDep обнаружила 30 вредоносных пакетов npm, распространенных по нескольким учетным записям и связанных с одним поддельным репозиторием GitHub.

Преступники разместили в сети «polymarket-arbitrage-bot», который, как утверждалось, приносил более 80 000 долларов в год. До разоблачения мошенничество получило 36 звезд и 53 форка. Каждый разработчик, скачавший и установивший его, запускал вредоносное ПО.

Злоумышленники знали, что реальные торговые боты заработали огромные деньги на Polymarket.

Один бот, проанализированный аналитиками рынка прогнозов из Dexter's Lab, превратил 313 долларов в 414 000 долларов всего за один месяц, а другой, проанализированный исследователем Игорем Микериным, заработал 2,2 миллиона долларов за два месяца. Эти tracзаставили фейкового бота выглядеть убедительно в глазах трейдеров, стремящихся к легкой прибыли.

Инструкции к этому поддельному торговому боту включали требование к пользователям поместить свой закрытый ключ Polymarket в файл .env перед запуском команды «npm install». Во время установки запускалось вредоносное ПО, скрытое в зависимости под названием «clob-client-math».

Вредоносная программа крадет множество конфиденциальных данных, в том числе: 

  • Данные криптокошельков из MetaMask, Phantom, Coinbase Wallet, TrustWallet и других источников.
  • Данные браузера, такие как сохраненные пароли и файлы cookie из Chrome, Firefox и Brave.
  • SSH-ключи, данные для входа в AWS, токены npm и PyPI.
  • Данные из менеджеров паролей, таких как Bitwarden, KeePass и 1Password.
  • Закрытые ключи и API-токены.

Что делать, если вы скачали поддельного бота?

Исследователи в области информационной безопасности считают, что за этой атакой стоят северокорейские хакеры. Эта группа проводит более масштабную кампанию под названием «Contagious Trader», направленную против разработчиков криптовалют.

Cryptopolitan сообщило , что хакеры захватили учетную запись разработчика Axios и опубликовали вредоносные npm-пакеты. В мае с помощью одной взломанной учетной записи удалось захватить 323 пакета менее чем за 30 минут.

В этом году пользователи Polymarket также сталкивались с другими атаками, например, в конце июня фишинговая атака привела к потере 2,94 миллиона долларов как минимум с 11 счетов.

SafeDep заявляет, что любой компьютер, на котором была запущена команда «npm install» на поддельном боте, следует считать взломанным. Таким лицам рекомендуется немедленно сменить все ключи криптокошельков, изменить все пароли, хранящиеся в браузере, и заменить всеdentданные AWS, ключи SSH и токены API.

Трейдерам также рекомендуется проверить свои файлы блокировки npm на наличие 30 вредоносных пакетов, обратив внимание на зависимости, которые указаны в package.json, но никогда не используются в коде. В файле «package.json» репозитория, использованного в этой атаке, были указаны четыре зависимости, но только три (официальный SDK Polymarket, ethers и dotenv) были легитимными. Четвертая, clob-client-math, которая скрывала вредоносное ПО, никогда не импортировалась в исходный код бота.

Лучшая защита — проверка того, не исходят ли пакеты от новых учетных записей без истории публикаций, поскольку все поддельные пакеты были опубликованы совершенно новыми учетными записями.

Не просто читайте новости о криптовалютах. Разберитесь в них. Подпишитесь на нашу рассылку. Это бесплатно.

Часто задаваемые вопросы

Что представляет собой поддельный арбитражный бот Polymarket?

Согласно расследованию SafeDep, это репозиторий GitHub (Trum3it/polymarket-arbitrage-bot), который выдавал себя за торгового бота на TypeScript для рынков прогнозов Polymarket, но включал вредоносную зависимость npm под названием `clob-client-math`, которая устанавливала программу для кражи информации, когда разработчики запускали `npm install`.

Какие данные собирает похититель информации?

Вредоносная программа нацелена на хранилища криптокошельков восьми крупнейших кошельков, включая MetaMask и Phantom, файлы cookie и пароли браузеров, ключи SSH,dentданные AWS, токены npm и PyPI, конфигурации Docker, историю командной оболочки и базы данных менеджеров паролей Bitwarden, KeePass и 1Password.

Как разработчики могут проверить, затронула ли их данная проблема?

Разработчикам, клонировавшим репозиторий, следует проверить свои файлы npm lock на наличие 30 пакетов,dentв ходе кампании, выполнить ротацию всехdentданных и закрытых ключей, хранившихся на затронутой машине, а также проверить свой файл `package.json` на наличие зависимостей, которые объявлены, но никогда не импортируются в исходный код.

Поделитесь этой статьей

Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtronпровести независимоеdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.

Ханна Коллимор

Ханна Коллимор

Ханна — писательница и редактор с почти десятилетним опытом ведения блогов и освещения мероприятий в криптопространстве. В CryptopolitanХанна пишет для новостной страницы, освещая и анализируя последние события в DeFi, RWA, регулирования криптовалют, ИИ и передовых технологических отраслей. Она окончила университет Аркадия со степенью в области делового администрирования.

ЕЩЕ… НОВОСТИ
ЭКСПРЕСС- КУРС ПО ГЛУБОКОЙ КРИПТОГРАФИИ