黑客在 GitHub 上為 Polymarket 的預測市場創建了一個假交易機器人。該機器人被用於傳播惡意軟件,竊取錢包密鑰等憑證以及黑客在 GitHub 上為 Polymarket 的預測市場創建了一個假交易機器人。該機器人被用於傳播惡意軟件,竊取錢包密鑰等憑證以及

攻擊者透過 Npm 套件向 Polymarket 交易機器人用戶及 DeFi 開發者投放資訊竊取程式

2026/07/01 22:53
閱讀時長 6 分鐘
如需對本內容提供反饋或相關疑問,請通過郵箱 crypto.news@mexc.com 聯絡我們。

駭客在 GitHub 上為 Polymarket 預測市場創建了一個假交易機器人。該機器人被用來散播惡意軟體,竊取錢包金鑰和瀏覽器密碼等憑證。

在多個 npm 帳戶中發現了 30 個惡意套件,據報專門針對使用自動化策略的開發者和交易者。在被標記之前,至少有 53 名開發者中了圈套。

Attackers deliver infostealer to Polymarket trading bot users, DeFi devs through npm packages

假機器人如何擴散至超過 53 名開發者?

2026 年 7 月 1 日,安全公司 SlowMist 標記了一個假交易機器人,該機器人聲稱可在 Polymarket 上獲取豐厚利潤,但實際上只是惡意軟體的傳播載體。SafeDep 發現了 30 個惡意 npm 套件,分散在多個帳戶中,並與一個假 GitHub 儲存庫相關聯。

犯罪分子發布了一個名為「polymarket-arbitrage-bot」的項目,聲稱每年可賺取超過 80,000 美元。在騙局被揭露之前,它獲得了 36 個星標和 53 個分叉。每一位下載並安裝它的開發者都運行了惡意軟體。

攻擊者清楚地知道,真實的交易機器人已在 Polymarket 上賺取了鉅額利潤

預測市場分析師 Dexter's Lab 分析的一個機器人在短短一個月內將 313 美元增加到 414,000 美元,而研究員 Igor Mikerin 分析的另一個機器人在兩個月內賺取了 220 萬美元。這些業績記錄使假機器人對追求輕鬆獲利的交易者來說顯得可信。

這個假交易機器人的使用說明要求用戶在運行「npm install」之前,將其 Polymarket 私鑰放入 .env 文件中。在安裝過程中,隱藏在名為「clob-client-math」的依賴項中的惡意軟體便會運行。

該惡意軟體竊取大量敏感數據,包括: 

  • 來自 MetaMask、Phantom、Coinbase Wallet、TrustWallet 等的加密貨幣錢包數據。
  • 來自 Chrome、Firefox 和 Brave 的瀏覽器數據,如已儲存的密碼和 Cookie。
  • SSH 金鑰、AWS 登入憑證、npm 和 PyPI 令牌。
  • 來自 Bitwarden、KeePass 和 1Password 等密碼管理器的數據。
  • 私鑰和 API 令牌。

如果你下載了假機器人,應該怎麼做?

安全研究人員認為,此次攻擊背後是北韓駭客。該組織正在執行一項名為「Contagious Trader」的更大規模行動,專門針對加密貨幣開發者。

Cryptopolitan 於三月報導,駭客接管了一名 Axios 開發者的帳戶並發布了惡意 npm 套件。五月,一個被入侵的帳戶在不到 30 分鐘內接管了 323 個套件。

Polymarket 用戶今年也面臨其他攻擊,例如六月下旬,一場網路釣魚詐騙從至少 11 個帳戶中盜走了 294 萬美元。

SafeDep 表示,任何在假機器人上運行過「npm install」的電腦都應被視為已遭入侵。建議相關人員立即輪換所有加密貨幣錢包金鑰、更改瀏覽器中儲存的所有密碼,並替換所有 AWS 憑證、SSH 金鑰和 API 令牌。

此外,建議交易者檢查其 npm 鎖定文件中是否存在這 30 個惡意套件,方法是查找出現在 package.json 中但從未在代碼中使用的依賴項。此次攻擊中,儲存庫的「package.json」列出了四個依賴項,但只有三個(官方 Polymarket SDK、ethers 和 dotenv)是合法的。第四個隱藏惡意軟體的 clob-client-math 從未在機器人的源代碼中被引用。

最佳防禦方式是檢查套件是否來自沒有發布歷史的新帳戶,因為所有假套件均由全新帳戶發布。

不要只是閱讀加密貨幣新聞,更要理解它。訂閱我們的電子報,完全免費。

市場機遇
DeFi 圖標
DeFi實時價格 (DEFI)
$0.0001845
$0.0001845$0.0001845
+0.27%
USD
DeFi (DEFI) 實時價格圖表

世界盃預測,一單串多場,搏200倍收益!

世界盃預測,一單串多場,搏200倍收益!世界盃預測,一單串多場,搏200倍收益!

MEXC App 6.60.0 全新升級,巴西/法國/阿根廷等最多20場組合,一鍵輕鬆下注!

免責聲明: 本網站轉載的文章均來源於公開平台,僅供參考。這些文章不代表 MEXC 的觀點或意見。所有版權歸原作者所有。如果您認為任何轉載文章侵犯了第三方權利,請聯絡 crypto.news@mexc.com 以便將其刪除。MEXC 不對轉載文章的及時性、準確性或完整性作出任何陳述或保證,並且不對基於此類內容所採取的任何行動或決定承擔責任。轉載材料僅供參考,不構成任何商業、金融、法律和/或稅務決策的建議、認可或依據。