黑客在 GitHub 上為 Polymarket 的預測市場創建了一個假交易機器人。該機器人被用於傳播惡意軟件,竊取錢包密鑰等憑證以及黑客在 GitHub 上為 Polymarket 的預測市場創建了一個假交易機器人。該機器人被用於傳播惡意軟件,竊取錢包密鑰等憑證以及

攻擊者透過 Npm 套件向 Polymarket 交易機器人用戶及 DeFi 開發者投放資訊竊取程式

2026/07/01 22:53
閱讀時長 6 分鐘
如需對本內容提供反饋或相關疑問,請通過郵箱 [email protected] 聯絡我們。

駭客在 GitHub 上為 Polymarket 預測市場創建了一個假交易機器人。該機器人被用來散播惡意軟體,竊取錢包金鑰和瀏覽器密碼等憑證。

在多個 npm 帳戶中發現了 30 個惡意套件,據報專門針對使用自動化策略的開發者和交易者。在被標記之前,至少有 53 名開發者中了圈套。

Attackers deliver infostealer to Polymarket trading bot users, DeFi devs through npm packages

假機器人如何擴散至超過 53 名開發者?

2026 年 7 月 1 日,安全公司 SlowMist 標記了一個假交易機器人,該機器人聲稱可在 Polymarket 上獲取豐厚利潤,但實際上只是惡意軟體的傳播載體。SafeDep 發現了 30 個惡意 npm 套件,分散在多個帳戶中,並與一個假 GitHub 儲存庫相關聯。

犯罪分子發布了一個名為「polymarket-arbitrage-bot」的項目,聲稱每年可賺取超過 80,000 美元。在騙局被揭露之前,它獲得了 36 個星標和 53 個分叉。每一位下載並安裝它的開發者都運行了惡意軟體。

攻擊者清楚地知道,真實的交易機器人已在 Polymarket 上賺取了鉅額利潤

預測市場分析師 Dexter's Lab 分析的一個機器人在短短一個月內將 313 美元增加到 414,000 美元,而研究員 Igor Mikerin 分析的另一個機器人在兩個月內賺取了 220 萬美元。這些業績記錄使假機器人對追求輕鬆獲利的交易者來說顯得可信。

這個假交易機器人的使用說明要求用戶在運行「npm install」之前,將其 Polymarket 私鑰放入 .env 文件中。在安裝過程中,隱藏在名為「clob-client-math」的依賴項中的惡意軟體便會運行。

該惡意軟體竊取大量敏感數據,包括: 

  • 來自 MetaMask、Phantom、Coinbase Wallet、TrustWallet 等的加密貨幣錢包數據。
  • 來自 Chrome、Firefox 和 Brave 的瀏覽器數據,如已儲存的密碼和 Cookie。
  • SSH 金鑰、AWS 登入憑證、npm 和 PyPI 令牌。
  • 來自 Bitwarden、KeePass 和 1Password 等密碼管理器的數據。
  • 私鑰和 API 令牌。

如果你下載了假機器人,應該怎麼做?

安全研究人員認為,此次攻擊背後是北韓駭客。該組織正在執行一項名為「Contagious Trader」的更大規模行動,專門針對加密貨幣開發者。

Cryptopolitan 於三月報導,駭客接管了一名 Axios 開發者的帳戶並發布了惡意 npm 套件。五月,一個被入侵的帳戶在不到 30 分鐘內接管了 323 個套件。

Polymarket 用戶今年也面臨其他攻擊,例如六月下旬,一場網路釣魚詐騙從至少 11 個帳戶中盜走了 294 萬美元。

SafeDep 表示,任何在假機器人上運行過「npm install」的電腦都應被視為已遭入侵。建議相關人員立即輪換所有加密貨幣錢包金鑰、更改瀏覽器中儲存的所有密碼,並替換所有 AWS 憑證、SSH 金鑰和 API 令牌。

此外,建議交易者檢查其 npm 鎖定文件中是否存在這 30 個惡意套件,方法是查找出現在 package.json 中但從未在代碼中使用的依賴項。此次攻擊中,儲存庫的「package.json」列出了四個依賴項,但只有三個(官方 Polymarket SDK、ethers 和 dotenv)是合法的。第四個隱藏惡意軟體的 clob-client-math 從未在機器人的源代碼中被引用。

最佳防禦方式是檢查套件是否來自沒有發布歷史的新帳戶,因為所有假套件均由全新帳戶發布。

不要只是閱讀加密貨幣新聞,更要理解它。訂閱我們的電子報,完全免費。

市場機遇
DeFi 圖標
DeFi實時價格 (DEFI)
$0.0001844
$0.0001844$0.0001844
+0.21%
USD
DeFi (DEFI) 實時價格圖表

世界盃預測,一單串多場,搏200倍收益!

世界盃預測,一單串多場,搏200倍收益!世界盃預測,一單串多場,搏200倍收益!

MEXC App 6.60.0 全新升級,巴西/法國/阿根廷等最多20場組合,一鍵輕鬆下注!

免責聲明: 本網站轉載的文章均來源於公開平台,僅供參考。這些文章不代表 MEXC 的觀點或意見。所有版權歸原作者所有。如果您認為任何轉載文章侵犯了第三方權利,請聯絡 [email protected] 以便將其刪除。MEXC 不對轉載文章的及時性、準確性或完整性作出任何陳述或保證,並且不對基於此類內容所採取的任何行動或決定承擔責任。轉載材料僅供參考,不構成任何商業、金融、法律和/或稅務決策的建議、認可或依據。