摘要:黑客通过伪造的Polymarket交易机器人在GitHub和npm平台传播恶意软件,导致至少53名开发者账户信息泄露。该攻击利用虚假高收益承诺诱导用户安装,隐藏在依赖项中的恶意代码窃取钱包密钥、浏览器密码及云凭证。

币圈界报道:
虚假交易机器人潜伏于npm生态,引发大规模数据泄露
研究人员发现,一批伪装成Polymarket预测市场自动化工具的恶意软件包被上传至GitHub与npm平台,其核心目标是通过诱导开发者安装来窃取敏感登录信息。这些恶意包分布在多个新注册账户中,累计影响超过53名开发者。
伪造高收益模型诱骗开发者,真实漏洞藏于依赖项
2026年7月1日,安全机构SlowMist披露一个名为“polymarket-arbitrage-bot”的虚假项目,宣称可实现年化超8万美元回报。尽管该项目仅上线数周,却已获得36个星标和53次分叉,显示出高度可信的假象。其安装流程要求用户预先将私钥写入环境配置文件,从而触发隐藏在名为“clob-client-math”依赖项中的恶意脚本。
恶意代码深度渗透,窃取多类敏感凭证
一旦执行安装命令,恶意程序即开始扫描本地系统,提取包括MetaMask、Phantom、Coinbase Wallet等主流钱包数据;从Chrome、Firefox、Brave浏览器中读取保存的密码与会话Cookie;同时获取SSH密钥、AWS访问凭证、npm与PyPI令牌,以及Bitwarden、KeePass、1Password等密码管理器中的全部记录。该行为构成对用户数字资产的全面侵入。
应对措施:立即轮换密钥并排查异常依赖
据SafeDep分析,此次攻击疑似由朝鲜背景黑客组织主导,其行动属于代号为“Contagious Trader”的长期渗透计划。此前,该组织曾入侵Axios开发者账户并发布恶意包,5月更在三十分钟内控制323个npm包。建议所有运行过该机器人的用户立即更换所有加密钱包密钥、浏览器密码及云服务凭证,并检查package.json文件中是否存在未使用但被列入的依赖项。特别注意,“clob-client-math”虽出现在清单中,但在源码中从未被导入,系典型隐蔽植入手段。
防范关键:警惕无历史记录的新账户发布包
最有效的防御策略是识别并规避由全新账号发布的软件包。所有本次曝光的恶意包均来自零历史记录的npm账户,此类特征应作为判断可信度的核心指标。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
