黑客在Polymarket上创建虚假交易机器人,植入窃密恶意软件
黑客在GitHub上创建了一个虚假的Polymarket预测市场交易机器人。该机器人被用来传播恶意软件,窃取钱包密钥、浏览器密码等登录凭证。研究人员在多个npm账户中发现了30个恶意软件包,这些包主要针对使用自动化策略的开发者和交易者。在问题被标记之前,至少有53名开发者上当受骗。
一个虚假机器人如何感染超过53名开发者?
2026年7月1日,安全公司SlowMist标记了一个虚假交易机器人,该机器人号称能在Polymarket上带来丰厚收益,但实际上只是一个传播恶意软件的载体。SafeDep发现,30个恶意的npm包分布在多个账户中,并关联到一个虚假的GitHub仓库。
犯罪分子发布了一个名为“polymarket-arbitrage-bot”的机器人,声称每年可赚取超过8万美元。在骗局曝光前,该项目获得了36颗星和53次分叉。所有下载并安装该机器人的开发者都会运行恶意软件。攻击者深知,真实的交易机器人已在Polymarket上赚取了巨额利润。预测市场分析师Dexter's Lab分析的一个机器人曾在一个月内将313美元变成41.4万美元;另一名研究员Igor Mikerin分析的机器人则在两个月内赚了220万美元。这样的业绩记录使得这个虚假机器人对那些追逐轻松盈利的交易者来说颇具可信度。
这个虚假交易机器人的安装说明要求用户在运行“npm install”之前,将自己的Polymarket私钥放入一个.env文件中。在安装过程中,隐藏在名为“clob-client-math”的依赖项中的恶意软件会被执行。该恶意软件会窃取大量敏感数据,包括:MetaMask、Phantom、Coinbase Wallet、TrustWallet等加密货币钱包数据;Chrome、Firefox和Brave浏览器中保存的密码和Cookie;SSH密钥、AWS登录信息、npm和PyPI令牌;Bitwarden、KeePass和1Password等密码管理器的数据;以及私钥和API令牌。
如果你下载了虚假机器人,应该怎么办?
安全研究人员认为,这次攻击背后是朝鲜黑客组织。该组织正在开展一项名为“Contagious Trader”的大型活动,目标锁定加密货币开发者。今年3月,黑客接管了一位Axios开发者的账户并发布了恶意的npm包。5月,一个被入侵的账户在不到30分钟内控制了323个软件包。此外,Polymarket用户今年还遭遇了其他攻击,例如6月底,一次钓鱼诈骗从至少11个账户中盗走了294万美元。
SafeDep表示,任何运行过该虚假机器人“npm install”命令的计算机都应视为已被入侵。建议相关人士立即轮换所有加密货币钱包密钥,更改浏览器中存储的每个密码,并更换所有AWS凭证、SSH密钥和API令牌。交易者还应检查自己的npm锁文件,查找那30个恶意包——具体方法是寻找那些出现在package.json中但从未在代码中使用的依赖项。在此次攻击中,仓库的“package.json”列出了四个依赖项,但只有三个(官方的Polymarket SDK、ethers和dotenv)是合法的。第四个名为“clob-client-math”,隐藏了恶意软件,在机器人的源代码中从未被导入。
最好的防御措施是检查软件包是否来自没有发布历史的新账户——所有这些虚假包都是由全新账户发布的。

交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注