黑客为Polymarket预测市场创建了一个虚假交易机器人,并通过GitHub传播。该机器人用于传播恶意软件,窃取钱包密钥和浏览器密码等凭证。
安全公司SlowMist于2026年7月1日标记了一个虚假交易机器人,该机器人号称能在Polymarket上带来巨额利润,但实际上只是恶意软件的传播载体。SafeDep发现30个恶意npm包分布在多个账户中,并与一个虚假GitHub仓库相关联。
犯罪分子发布了一个名为“polymarket-arbitrage-bot”的机器人,声称每年可赚取超过8万美元。该机器人获得了36个星标和53个分支,直到骗局被曝光。每个下载并安装该机器人的开发者都运行了恶意软件。
攻击者清楚真实的交易机器人在Polymarket上赚取了巨额利润。例如,预测市场分析师Dexter’s Lab分析的一个机器人,仅一个月就将313美元变成了41.4万美元;另一个由研究员Igor Mikerin分析的机器人在两个月内赚取了220万美元。这样的记录使得虚假机器人对那些追逐轻松利润的交易者来说具有可信度。
该虚假交易机器人的说明包括要求用户将Polymarket私钥放入.env文件,然后运行“npm install”。在安装过程中,隐藏在名为“clob-client-math”的依赖项中的恶意软件会运行。
该恶意软件窃取大量敏感数据,包括:MetaMask、Phantom、Coinbase Wallet、TrustWallet等加密货币钱包数据;Chrome、Firefox和Brave浏览器中保存的密码和cookies;SSH密钥、AWS登录信息、npm和PyPI令牌;Bitwarden、KeePass和1Password等密码管理器的数据;以及私钥和API令牌。
安全研究人员认为这次攻击背后是朝鲜黑客组织。该组织正在开展一项名为“Contagious Trader”的大规模行动,专门针对加密货币开发者。SafeDep指出,任何运行过“npm install”该虚假机器人的计算机都应视为已被入侵,建议立即轮换所有加密货币钱包密钥,更改浏览器中存储的每个密码,并替换所有AWS凭证、SSH密钥和API令牌。
交易者还建议检查npm锁文件中的30个恶意包,查找出现在package.json中但从未在代码中使用的依赖项。在此次攻击中,仓库的“package.json”列出了四个依赖项,但只有三个(官方Polymarket SDK、ethers和dotenv)是合法的。第四个“clob-client-math”隐藏了恶意软件,从未在机器人的源代码中导入。
最佳防御措施是检查包是否来自没有发布历史的新账户,因为所有虚假包都是由全新账户发布的。
免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。