Злоумышленники распространяют вредоносный код для кражи информации среди пользователей торговых ботов Polymarket и разработчиков DeFi через npm-пакеты


Хакеры создали поддельного торгового бота для рынков прогнозов Polymarket на GitHub. Бот использовался для распространения вредоносного ПО, которое крадетdentданные, такие как ключи кошельков и пароли от браузеров.
В нескольких учетных записях npm было обнаружено 30 вредоносных пакетов, предположительно нацеленных на разработчиков и трейдеров, использующих автоматизированные стратегии. По меньшей мере 53 разработчика попались в ловушку, прежде чем она была обнаружена.
Как поддельный бот распространился среди более чем 53 разработчиков?
1 июля 2026 года компания по обеспечению безопасности SlowMist обнаружила поддельного торгового бота, который обещал большую прибыль на Polymarket, но на самом деле был всего лишь средством распространения вредоносного ПО. SafeDep обнаружила 30 вредоносных пакетов npm, распространенных по нескольким учетным записям и связанных с одним поддельным репозиторием GitHub.
Преступники разместили в сети «polymarket-arbitrage-bot», который, как утверждалось, приносил более 80 000 долларов в год. До разоблачения мошенничество получило 36 звезд и 53 форка. Каждый разработчик, скачавший и установивший его, запускал вредоносное ПО.
Злоумышленники знали, что реальные торговые боты заработали огромные деньги на Polymarket.
Один бот, проанализированный аналитиками рынка прогнозов из Dexter’s Lab, превратил 313 долларов в 414 000 долларов всего за один месяц, а другой, проанализированный исследователем Игорем Микериным, заработал 2,2 миллиона долларов за два месяца. Эти tracзаставили фейкового бота выглядеть убедительно в глазах трейдеров, стремящихся к легкой прибыли.
Инструкции к этому поддельному торговому боту включали требование к пользователям поместить свой закрытый ключ Polymarket в файл .env перед запуском команды «npm install». Во время установки запускалось вредоносное ПО, скрытое в зависимости под названием «clob-client-math».
Вредоносная программа крадет множество конфиденциальных данных, в том числе:
- Данные криптокошельков из MetaMask, Phantom, Coinbase Wallet, TrustWallet и других источников.
- Данные браузера, такие как сохраненные пароли и файлы cookie из Chrome, Firefox и Brave.
- SSH-ключи, данные для входа в AWS, токены npm и PyPI.
- Данные из менеджеров паролей, таких как Bitwarden, KeePass и 1Password.
- Закрытые ключи и API-токены.
Что делать, если вы скачали поддельного бота?
Исследователи в области информационной безопасности считают, что за этой атакой стоят северокорейские хакеры. Эта группа проводит более масштабную кампанию под названием «Contagious Trader», направленную против разработчиков криптовалют.
Cryptopolitan сообщило , что хакеры захватили учетную запись разработчика Axios и опубликовали вредоносные npm-пакеты. В мае с помощью одной взломанной учетной записи удалось захватить 323 пакета менее чем за 30 минут.
В этом году пользователи Polymarket также сталкивались с другими атаками, например, в конце июня фишинговая атака привела к потере 2,94 миллиона долларов как минимум с 11 счетов.
SafeDep заявляет, что любой компьютер, на котором была запущена команда «npm install» на поддельном боте, следует считать взломанным. Таким лицам рекомендуется немедленно сменить все ключи криптокошельков, изменить все пароли, хранящиеся в браузере, и заменить всеdentданные AWS, ключи SSH и токены API.
Трейдерам также рекомендуется проверить свои файлы блокировки npm на наличие 30 вредоносных пакетов, обратив внимание на зависимости, которые указаны в package.json, но никогда не используются в коде. В файле «package.json» репозитория, использованного в этой атаке, были указаны четыре зависимости, но только три (официальный SDK Polymarket, ethers и dotenv) были легитимными. Четвертая, clob-client-math, которая скрывала вредоносное ПО, никогда не импортировалась в исходный код бота.
Лучшая защита — проверка того, не исходят ли пакеты от новых учетных записей без истории публикаций, поскольку все поддельные пакеты были опубликованы совершенно новыми учетными записями.
