Hakerzy stworzyli fałszywego bota handlowego dla rynków predykcyjnych Polymarket na GitHubie. Bot został wykorzystany do rozprzestrzeniania złośliwego oprogramowania, które kradnie dane uwierzytelniające, takie jak klucze portfela iHakerzy stworzyli fałszywego bota handlowego dla rynków predykcyjnych Polymarket na GitHubie. Bot został wykorzystany do rozprzestrzeniania złośliwego oprogramowania, które kradnie dane uwierzytelniające, takie jak klucze portfela i

Atakujący dostarczają infostealer użytkownikom botów tradingowych Polymarket i deweloperom DeFi za pośrednictwem pakietów npm

2026/07/01 22:53
3 min. lektury
W przypadku uwag lub wątpliwości dotyczących niniejszej treści skontaktuj się z nami pod adresem crypto.news@mexc.com

Hakerzy stworzyli fałszywego bota handlowego dla rynków predykcyjnych Polymarket na GitHubie. Bot był wykorzystywany do rozprzestrzeniania złośliwego oprogramowania kradnącego dane uwierzytelniające, takie jak klucze portfela i hasła przeglądarki.

W kilku kontach npm znaleziono 30 złośliwych pakietów, które podobno były wymierzone w deweloperów i traderów korzystających ze zautomatyzowanych strategii. Co najmniej 53 deweloperów dało się złapać w pułapkę, zanim sprawa została zgłoszona.

Attackers deliver infostealer to Polymarket trading bot users, DeFi devs through npm packages

Jak fałszywy bot trafił do ponad 53 deweloperów?

1 lipca 2026 roku firma bezpieczeństwa SlowMist zgłosiła fałszywego bota handlowego, który obiecywał duże zyski na Polymarket, ale w rzeczywistości był jedynie nośnikiem złośliwego oprogramowania. SafeDep odkrył 30 złośliwych pakietów npm rozproszonych na wielu kontach i powiązanych z jednym fałszywym repozytorium GitHub.

Przestępcy opublikowali „polymarket-arbitrage-bot", który rzekomo zarabiał ponad 80 000 USD rocznie. Przed ujawnieniem oszustwa zdobył 36 gwiazdek i 53 forki. Każdy deweloper, który go pobrał i zainstalował, uruchomił złośliwe oprogramowanie.

Atakujący byli świadomi faktu, że prawdziwe boty handlowe zarobiły ogromne pieniądze na Polymarket.

Jeden bot opisany przez analityka rynków predykcyjnych Dexter's Lab zamienił 313 USD w 414 000 USD w ciągu zaledwie jednego miesiąca, podczas gdy inny, przeanalizowany przez badacza Igora Mikerina, zarobił 2,2 miliona USD w ciągu dwóch miesięcy. Ta historia sukcesów sprawiła, że fałszywy bot wyglądał wiarygodnie dla traderów goniących za łatwymi zyskami.

Instrukcje dotyczące tego fałszywego bota handlowego obejmowały umieszczenie przez użytkowników swojego klucza prywatnego Polymarket w pliku .env przed uruchomieniem „npm install". Podczas instalacji uruchamiało się złośliwe oprogramowanie ukryte w zależności o nazwie „clob-client-math".

Złośliwe oprogramowanie kradnie wiele wrażliwych danych, w tym: 

  • Dane portfeli kryptowalutowych z MetaMask, Phantom, Coinbase Wallet, TrustWallet i innych.
  • Dane przeglądarki, takie jak zapisane hasła i pliki cookie z Chrome, Firefox i Brave.
  • Klucze SSH, dane logowania do AWS, tokeny npm i PyPI.
  • Dane z menedżerów haseł, takich jak Bitwarden, KeePass i 1Password.
  • Klucze prywatne i tokeny API.

Co zrobić, jeśli pobrałeś fałszywego bota?

Badacze bezpieczeństwa uważają, że za tym atakiem stoją północnokoreańscy hakerzy. Grupa prowadzi szerszą kampanię o nazwie „Contagious Trader", która jest wymierzona w deweloperów kryptowalut.

Cryptopolitan informował w marcu, że hakerzy przejęli konto dewelopera Axios i opublikowali złośliwe pakiety npm. W maju jedno przejęte konto zostało wykorzystane do przejęcia 323 pakietów w mniej niż 30 minut.

Użytkownicy Polymarket w tym roku zetknęli się również z innymi atakami, jak choćby pod koniec czerwca, gdy oszustwo phishingowe opróżniło 2,94 miliona USD z co najmniej 11 kont.

SafeDep twierdzi, że każdy komputer, na którym uruchomiono „npm install" dla fałszywego bota, należy traktować jako zhakowany. Takim osobom zaleca się natychmiastową rotację wszystkich kluczy portfeli kryptowalutowych, zmianę wszystkich haseł zapisanych w przeglądarce oraz wymianę wszystkich danych uwierzytelniających AWS, kluczy SSH i tokenów API.

Traderom zaleca się również sprawdzenie plików blokady npm pod kątem 30 złośliwych pakietów poprzez wyszukanie zależności, które pojawiają się w package.json, ale nigdy nie są używane w kodzie. Plik „package.json" repozytorium w tym ataku zawierał cztery zależności, ale tylko trzy (oficjalny Polymarket SDK, ethers i dotenv) były legalne. Czwarta, clob-client-math, która ukrywała złośliwe oprogramowanie, nigdy nie była importowana w żadnym miejscu kodu źródłowego bota.

Najlepszą obroną jest sprawdzanie, czy pakiety pochodzą z nowych kont bez historii publikacji, ponieważ wszystkie fałszywe pakiety zostały opublikowane przez zupełnie nowe konta.

Nie tylko czytaj wiadomości o kryptowalutach. Rozumiej je. Zapisz się do naszego newslettera. To bezpłatne.

Okazja rynkowa
Logo DeFi
Cena DeFi(DEFI)
$0.0001842
$0.0001842$0.0001842
+0.10%
USD
DeFi (DEFI) Wykres Ceny na Żywo

World Cup Combo: Aim for 200x

World Cup Combo: Aim for 200xWorld Cup Combo: Aim for 200x

Combine up to 20 World Cup matches in one order

Zastrzeżenie: Artykuły udostępnione na tej stronie pochodzą z platform publicznych i służą wyłącznie celom informacyjnym. Niekoniecznie odzwierciedlają poglądy MEXC. Wszystkie prawa pozostają przy pierwotnych autorach. Jeśli uważasz, że jakakolwiek treść narusza prawa stron trzecich, skontaktuj się z crypto.news@mexc.com w celu jej usunięcia. MEXC nie gwarantuje dokładności, kompletności ani aktualności treści i nie ponosi odpowiedzialności za jakiekolwiek działania podjęte na podstawie dostarczonych informacji. Treść nie stanowi porady finansowej, prawnej ani innej profesjonalnej porady, ani nie powinna być traktowana jako rekomendacja lub poparcie ze strony MEXC.