Хакеры создали поддельного торгового бота для рынков предсказаний Polymarket на GitHub. Бот использовался для распространения вредоносного ПО, которое похищает учётные данные, такие как ключи кошельков иХакеры создали поддельного торгового бота для рынков предсказаний Polymarket на GitHub. Бот использовался для распространения вредоносного ПО, которое похищает учётные данные, такие как ключи кошельков и

Злоумышленники распространяют инфостилер среди пользователей торговых ботов Polymarket и DeFi-разработчиков через npm-пакеты

2026/07/01 22:53
3м. чтение
Для обратной связи или замечаний по поводу данного контента, свяжитесь с нами по адресу crypto.news@mexc.com

Хакеры создали поддельного торгового бота для рынков прогнозов Polymarket на GitHub. Бот использовался для распространения вредоносного ПО, которое похищает учётные данные, такие как ключи кошельков и пароли браузера.

В нескольких npm-аккаунтах было обнаружено 30 вредоносных пакетов, предположительно нацеленных на разработчиков и трейдеров, использующих автоматизированные стратегии. Не менее 53 разработчиков попались в ловушку до того, как она была выявлена.

Attackers deliver infostealer to Polymarket trading bot users, DeFi devs through npm packages

Как поддельный бот распространился среди более чем 53 разработчиков?

1 июля 2026 года компания по безопасности SlowMist выявила поддельного торгового бота, который обещал большую прибыль на Polymarket, но на самом деле являлся лишь инструментом для распространения вредоносного ПО. SafeDep обнаружил 30 вредоносных npm-пакетов, распространённых по нескольким аккаунтам и связанных с одним поддельным репозиторием на GitHub.

Злоумышленники опубликовали «polymarket-arbitrage-bot», который якобы приносил более 80 000$ в год. До разоблачения мошенничества бот набрал 36 звёзд и 53 форка. Каждый разработчик, скачавший и установивший его, запустил вредоносное ПО.

Злоумышленники знали о том, что реальные торговые боты зарабатывали огромные деньги на Polymarket.

Один бот, описанный аналитиком рынков прогнозов Dexter's Lab, превратил 313$ в 414 000$ всего за один месяц, тогда как другой, проанализированный исследователем Игорем Микериным, заработал 2,2 млн$ за два месяца. Такая репутация делала поддельного бота убедительным для трейдеров, гонящихся за лёгкой прибылью.

Инструкции к этому поддельному торговому боту предписывали пользователям вводить свой приватный ключ Polymarket в файл .env перед запуском «npm install». В процессе установки запускалось вредоносное ПО, скрытое внутри зависимости под названием «clob-client-math».

Вредоносное ПО похищает большой объём конфиденциальных данных, в том числе: 

  • Данные криптокошельков MetaMask, Phantom, Coinbase Wallet, TrustWallet и других.
  • Данные браузера: сохранённые пароли и файлы cookie из Chrome, Firefox и Brave.
  • SSH-ключи, данные для входа в AWS, токены npm и PyPI.
  • Данные из менеджеров паролей, таких как Bitwarden, KeePass и 1Password.
  • Приватные ключи и API-токены.

Что делать, если вы скачали поддельного бота?

Исследователи в области безопасности считают, что за этой атакой стоят северокорейские хакеры. Группа проводит масштабную кампанию под названием «Contagious Trader», направленную против крипто-разработчиков.

Cryptopolitan сообщал в марте, что хакеры захватили аккаунт разработчика Axios и опубликовали вредоносные npm-пакеты. В мае один скомпрометированный аккаунт был использован для захвата 323 пакетов менее чем за 30 минут.

Пользователи Polymarket также столкнулись с другими атаками в этом году: в конце июня фишинговая мошенническая схема опустошила не менее 11 аккаунтов на сумму 2,94 млн$.

SafeDep утверждает, что любой компьютер, на котором был запущен «npm install» поддельного бота, следует считать взломанным. Таким пользователям рекомендуется немедленно сменить все ключи криптокошельков, изменить все пароли, сохранённые в браузере, а также заменить все учётные данные AWS, SSH-ключи и API-токены.

Трейдерам также рекомендуется проверить npm lock-файлы на наличие 30 вредоносных пакетов, выявив зависимости, которые присутствуют в package.json, но нигде не используются в коде. В данной атаке файл «package.json» репозитория содержал четыре зависимости, однако только три из них (официальный Polymarket SDK, ethers и dotenv) были легитимными. Четвёртая — clob-client-math, скрывавшая вредоносное ПО, — нигде не импортировалась в исходном коде бота.

Лучшая защита — проверять, не опубликованы ли пакеты новыми аккаунтами без истории публикаций, поскольку все поддельные пакеты были опубликованы совершенно новыми аккаунтами.

Не просто читайте крипто-новости. Понимайте их. Подпишитесь на нашу рассылку. Это бесплатно.

Возможности рынка
Логотип DeFi
DeFi Курс (DEFI)
$0.0001848
$0.0001848$0.0001848
+0.43%
USD
График цены DeFi (DEFI) в реальном времени

Комбо Кубка мира: Цель на 200x

Комбо Кубка мира: Цель на 200xКомбо Кубка мира: Цель на 200x

До 20 комбо в матчах Кубка мира за 1 ордер

Отказ от ответственности: Статьи, размещенные на этом веб-сайте, взяты из общедоступных источников и предоставляются исключительно в информационных целях. Они не обязательно отражают точку зрения MEXC. Все права принадлежат первоисточникам. Если вы считаете, что какой-либо контент нарушает права третьих лиц, пожалуйста, обратитесь по адресу crypto.news@mexc.com для его удаления. MEXC не дает никаких гарантий в отношении точности, полноты или своевременности контента и не несет ответственности за любые действия, предпринятые на основе предоставленной информации. Контент не является финансовой, юридической или иной профессиональной консультацией и не должен рассматриваться как рекомендация или одобрение со стороны MEXC.