DeFi 开发者和Polymarket交易机器人用户成为最新信息窃取npm包的目标

- 攻击者在 GitHub 上创建了一个虚假的 Polymarket 套利机器人,该机器人通过隐藏的 npm 依赖项安装了dent凭证的恶意软件。.
- 十个 npm 帐户上的 30 个恶意软件包的目标是加密钱包、浏览器dent、开发者密钥和密码管理器数据库。.
- 在被标记之前,至少有 53 位开发者 fork 了该代码库。.
黑客在GitHub上为Polymarket的预测市场创建了一个虚假的交易机器人。该机器人被用于传播dent软件,窃取钱包密钥和浏览器密码等凭证。.
据报道,在多个 npm 账户中发现了 30 个恶意软件包,其目标似乎是使用自动化交易策略的开发者和交易员。在恶意软件被标记之前,至少有 53 名开发者落入了陷阱。.
一个虚假机器人是如何传播到超过 53 位开发者的?
2026年7月1日,安全公司 SlowMist发现了 一个虚假的交易机器人,该机器人声称在Polymarket上提供高额利润,但实际上只是恶意软件的传播工具。SafeDep在该机器人中 发现了 30个恶意npm包,这些包分布在多个账户中,并与一个虚假的GitHub仓库相关联。
犯罪分子发布了一个名为“polymarket-arbitrage-bot”的程序,声称每年可赚取超过 8 万美元。在骗局被揭穿之前,该程序获得了 36 个星标和 53 个分支。所有下载并安装该程序的开发者都运行了恶意软件。.
攻击者很清楚,真正的交易机器人已经 在 Polymarket 上赚了大钱。
预测市场分析机构Dexter's Lab分析的一款机器人,在一个月内就将313美元变成了41.4万美元;而研究员Igor Mikerin分析的另一款机器人,在两个月内赚了220万美元。这些 trac的业绩让那些追逐快速盈利的交易员们相信了这些虚假机器人。.
这个虚假交易机器人的安装说明要求用户在运行“npm install”之前,将他们的 Polymarket 私钥放入一个 .env 文件中。安装过程中,隐藏在名为“clob-client-math”的依赖项中的恶意软件就会运行。.
该恶意软件会窃取大量敏感数据,包括:
- 来自 MetaMask、Phantom、Coinbase Wallet、TrustWallet 等的加密钱包数据。.
- 来自 Chrome、Firefox 和 Brave 的浏览器数据,例如已保存的密码和 cookie。.
- SSH 密钥、AWS 登录信息、npm 和 PyPI 令牌。.
- 来自 Bitwarden、KeePass 和 1Password 等密码管理器的数据。.
- 私钥和API令牌。.
如果你下载了虚假机器人该怎么办?
安全研究人员认为,此次攻击是由朝鲜黑客所为。该组织正在开展一项名为“传染性交易者”(Contagious Trader)的大规模攻击活动,目标是加密货币开发者。.
Cryptopolitan 报道 称,黑客入侵了一位 Axios 开发者的账户,并发布了恶意 npm 包。五月份,一个被盗账户在不到 30 分钟的时间内就控制了 323 个软件包。
今年,Polymarket 用户还面临其他攻击,例如在 6 月下旬,一起 网络钓鱼诈骗案 从至少 11 个账户中窃取了 294 万美元。
SafeDep表示,任何在虚假机器人上运行过“npm install”命令的计算机都应视为已被黑客入侵。建议此类用户立即轮换所有加密钱包密钥,更改浏览器中存储的所有密码,并更换所有AWSdent、SSH密钥和API令牌。.
交易者还应检查其 npm lock 文件,查找 package.json 中出现但代码中从未使用的依赖项,以识别这 30 个恶意软件包。此次攻击中,仓库的 package.json 文件列出了四个依赖项,但只有三个(官方 Polymarket SDK、以太坊和 dotenv)是合法的。第四个依赖项 clob-client-math 隐藏了恶意软件,从未在僵尸程序的源代码中被导入。.
最好的防御措施是检查包裹是否来自没有发布历史的新帐户,因为所有虚假包裹都是由全新帐户发布的。.
不要只是阅读加密货币新闻,要理解它。订阅我们的新闻简报, 完全免费。
常见问题解答
什么是虚假的Polymarket套利机器人?
根据 SafeDep 的调查,这是一个 GitHub 存储库 (Trum3it/polymarket-arbitrage-bot),它伪装成 Polymarket 预测市场的 TypeScript 交易机器人,但其中包含一个名为 `clob-client-math` 的恶意 npm 依赖项,当开发人员运行 `npm install` 时,该依赖项会安装一个信息窃取程序。.
信息窃取者会收集哪些数据?
该恶意软件的目标是来自八大主流钱包(包括 MetaMask 和 Phantom)的加密钱包金库、浏览器 cookie 和密码、SSH 密钥、AWSdent、npm 和 PyPI 令牌、Docker 配置、shell 历史记录以及来自 Bitwarden、KeePass 和 1Password 的密码管理器数据库。.
开发者如何检查自己是否受到影响?
克隆了该存储库的开发者应检查其 npm lock 文件,查找我在此次活动中dent出的 30 个软件包中的任何一个,轮换存储在受影响机器上的所有dent和私钥,并审核其 `package.json` 文件,查找已声明但从未在源代码中导入的依赖项。.
免责声明:本页面提供的信息并非交易建议。Cryptopolitan.com对任何基于本页面信息进行的投资概不负责。我们tron您在做出任何投资决定前进行独立dent /或咨询合格的专业人士。Cryptopolitan研究

汉娜·科利莫尔
汉娜是一位作家兼编辑,在加密货币领域拥有近十年的博客写作和活动报道经验。在 Cryptopolitan,汉娜负责新闻版块,报道和分析 DeFi、RWA、加密货币监管、人工智能和前沿科技行业的最新动态。她毕业于阿卡迪亚大学,获得工商管理学位。.
学速成课程
- 哪些加密货币可以让你赚钱
- 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
- 专业人士使用的鲜为人知的投资策略
- 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)
















