駭客在 GitHub 上為 Polymarket 預測市場創建了一個假交易機器人。該機器人被用來散播惡意軟體,竊取錢包金鑰和瀏覽器密碼等憑證。
在多個 npm 帳戶中發現了 30 個惡意套件,據報專門針對使用自動化策略的開發者和交易者。在被標記之前,至少有 53 名開發者中了圈套。

2026 年 7 月 1 日,安全公司 SlowMist 標記了一個假交易機器人,該機器人聲稱可在 Polymarket 上獲取豐厚利潤,但實際上只是惡意軟體的傳播載體。SafeDep 發現了 30 個惡意 npm 套件,分散在多個帳戶中,並與一個假 GitHub 儲存庫相關聯。
犯罪分子發布了一個名為「polymarket-arbitrage-bot」的項目,聲稱每年可賺取超過 80,000 美元。在騙局被揭露之前,它獲得了 36 個星標和 53 個分叉。每一位下載並安裝它的開發者都運行了惡意軟體。
攻擊者清楚地知道,真實的交易機器人已在 Polymarket 上賺取了鉅額利潤。
預測市場分析師 Dexter's Lab 分析的一個機器人在短短一個月內將 313 美元增加到 414,000 美元,而研究員 Igor Mikerin 分析的另一個機器人在兩個月內賺取了 220 萬美元。這些業績記錄使假機器人對追求輕鬆獲利的交易者來說顯得可信。
這個假交易機器人的使用說明要求用戶在運行「npm install」之前,將其 Polymarket 私鑰放入 .env 文件中。在安裝過程中,隱藏在名為「clob-client-math」的依賴項中的惡意軟體便會運行。
該惡意軟體竊取大量敏感數據,包括:
安全研究人員認為,此次攻擊背後是北韓駭客。該組織正在執行一項名為「Contagious Trader」的更大規模行動,專門針對加密貨幣開發者。
Cryptopolitan 於三月報導,駭客接管了一名 Axios 開發者的帳戶並發布了惡意 npm 套件。五月,一個被入侵的帳戶在不到 30 分鐘內接管了 323 個套件。
Polymarket 用戶今年也面臨其他攻擊,例如六月下旬,一場網路釣魚詐騙從至少 11 個帳戶中盜走了 294 萬美元。
SafeDep 表示,任何在假機器人上運行過「npm install」的電腦都應被視為已遭入侵。建議相關人員立即輪換所有加密貨幣錢包金鑰、更改瀏覽器中儲存的所有密碼,並替換所有 AWS 憑證、SSH 金鑰和 API 令牌。
此外,建議交易者檢查其 npm 鎖定文件中是否存在這 30 個惡意套件,方法是查找出現在 package.json 中但從未在代碼中使用的依賴項。此次攻擊中,儲存庫的「package.json」列出了四個依賴項,但只有三個(官方 Polymarket SDK、ethers 和 dotenv)是合法的。第四個隱藏惡意軟體的 clob-client-math 從未在機器人的源代碼中被引用。
最佳防禦方式是檢查套件是否來自沒有發布歷史的新帳戶,因為所有假套件均由全新帳戶發布。
不要只是閱讀加密貨幣新聞,更要理解它。訂閱我們的電子報,完全免費。


