Škodlivý balíček v npm ohrožuje vývojáře botů pro Polymarket
Vývojáři obchodních botů pro platformu Polymarket byli cílem útoku prostřednictvím škodlivého balíčku 'sleek-pretty' v repozitáři npm. Tento nástroj, který se maskuje jako knihovna pro protokolování, krade citlivé údaje – včetně API klíčů a privátních klíčů peněženek – a tím vystavuje uživatele riziku ztráty významných finančních prostředků.
Mechanismus útoku a cíle
Balíček byl do npm přidán 10. dubna z účtu probull02. Po integraci do projektu se automaticky aktivuje a obejde běžné bezpečnostní kontroly. Kód je zamaskovaný (obfuskovaný), což komplikuje jeho analýzu a odhalení hrozby.
Útok má na mušce úzkou skupinu: tvůrci automatizovaných systémů pro Polymarket – decentralizovanou platformu prediktivních trhů s obratem v řádu stovek milionů dolarů. Tyto boty využívají oficiální SDK, kde jsou klíče uloženy v souborech .env.
Škodlivý kód:
- Shromažďuje systémové informace: OS, IP adresu, uživatelské jméno.
- Odesílá data na server útočníka.
- Na Linuxu vkládá SSH klíč do
authorized_keys, čímž zajišťuje trvalý přístup. - Prohledává souborový systém po souborech
.env, JSON a dokumentech, s důrazem na soubory související s Polymarket SDK.
Důsledky pro oběti
Získané údaje umožňují útočníkům manipulovat s objednávkami přes API a vybírat prostředky přímo z peněženek. Účty botů často obsahují stovky tisíc až miliony dolarů, což výrazně zvyšuje finanční riziko.
I odstranění balíčku neodstraní hrozbu kvůli trvalému SSH přístupu. Útočníci si udržují kontrolu nad serverem i po změně hesel.
Co je důležité vědět:
- Balíček se maskuje jako knihovna pro logování, ale krade klíče pro Polymarket.
- Vkládá SSH backdoor na Linuxové systémy.
- Má spojitost s metodikami severokorejské skupiny Lazarus Group.
- Doporučuje se pečlivá kontrola
authorized_keysa změna všech klíčů. - Útok ovlivňuje celý dodavatelský řetězec softwaru pro kryptoměnové obchodování.
Kontext hrozeb v ekosystému npm
Repozitář npm zůstává oblíbeným cílem pro útoky typu supply chain. V letech 2023–2025 bylo zaznamenáno několik kampaní proti vývojářům kryptoprojektů: falešné balíčky kradou přihlašovací údaje pro DeFi a NFT projekty. Skupina Lazarus Group, známá útoky na kryptoburzy, používá podobné techniky – dočasné účty a obfuskaci kódu.
Polymarket, jako platforma pro sázení na události (od voleb po sport), přitahuje velké hráče. Boty automatizují sázky na základě dat ze SDK, což je činí zranitelnými. Hlavní důvody úspěchu útoku: důvěra k npm, ukládání klíčů v kódu a absence verifikace balíčků.
Doporučení pro ochranu
Vývojáři botů by měli zavést vícevrstvou ochranu:
- Používat správce tajných klíčů místo souborů
.env. - Kontrolovat balíčky na známky obfuskace pomocí nástrojů jako Socket nebo Snyk.
- Omezit přístupová práva na serverech.
- Monitorovat
authorized_keysa SSH logy. - Přejít na ověřená SDK s vestavěnou bezpečností.
Význam pro odvětví
Incident zdůrazňuje rizika v dodavatelských řetězcích softwaru. Pro kryptoprůmysl jde o varovný signál směřující k přísnějšímu auditování: ztráta klíčů vede okamžitě k výběru aktiv. Regulátoři mohou zavést povinnosti pro verifikaci balíčků, podobně jako EU DORA. Polymarket a podobné platformy posilují své SDK, ale vývojáři zůstávají slabým článkem. Celkový trend ukazuje na růst útoků na DeFi, kde denní objemy obchodování přesahují 100 miliard dolarů.
— Editorial Team
Zatím žádné komentáře.