Zpět na domů

Škodlivý npm balíček krade klíče botů Polymarket

Škodlivý balíček sleek-pretty v npm je zaměřen na vývojáře botů Polymarket, krade API klíče a zavádí SSH backdoory. Útok je spojen s Lazarus Group. Analýza rizik, důsledků a opatření k ochraně pro kryptoprzumysl.

Hackeři zaútočili na boty Polymarket přes npm: detaily hrozby
Advertisement 728x90

Škodlivý balíček v npm ohrožuje vývojáře botů pro Polymarket

Vývojáři obchodních botů pro platformu Polymarket byli cílem útoku prostřednictvím škodlivého balíčku 'sleek-pretty' v repozitáři npm. Tento nástroj, který se maskuje jako knihovna pro protokolování, krade citlivé údaje – včetně API klíčů a privátních klíčů peněženek – a tím vystavuje uživatele riziku ztráty významných finančních prostředků.

Mechanismus útoku a cíle

Balíček byl do npm přidán 10. dubna z účtu probull02. Po integraci do projektu se automaticky aktivuje a obejde běžné bezpečnostní kontroly. Kód je zamaskovaný (obfuskovaný), což komplikuje jeho analýzu a odhalení hrozby.

Útok má na mušce úzkou skupinu: tvůrci automatizovaných systémů pro Polymarket – decentralizovanou platformu prediktivních trhů s obratem v řádu stovek milionů dolarů. Tyto boty využívají oficiální SDK, kde jsou klíče uloženy v souborech .env.

Google AdInline article slot

Škodlivý kód:

  • Shromažďuje systémové informace: OS, IP adresu, uživatelské jméno.
  • Odesílá data na server útočníka.
  • Na Linuxu vkládá SSH klíč do authorized_keys, čímž zajišťuje trvalý přístup.
  • Prohledává souborový systém po souborech .env, JSON a dokumentech, s důrazem na soubory související s Polymarket SDK.

Důsledky pro oběti

Získané údaje umožňují útočníkům manipulovat s objednávkami přes API a vybírat prostředky přímo z peněženek. Účty botů často obsahují stovky tisíc až miliony dolarů, což výrazně zvyšuje finanční riziko.

I odstranění balíčku neodstraní hrozbu kvůli trvalému SSH přístupu. Útočníci si udržují kontrolu nad serverem i po změně hesel.

Google AdInline article slot

Co je důležité vědět:

  • Balíček se maskuje jako knihovna pro logování, ale krade klíče pro Polymarket.
  • Vkládá SSH backdoor na Linuxové systémy.
  • Má spojitost s metodikami severokorejské skupiny Lazarus Group.
  • Doporučuje se pečlivá kontrola authorized_keys a změna všech klíčů.
  • Útok ovlivňuje celý dodavatelský řetězec softwaru pro kryptoměnové obchodování.

Kontext hrozeb v ekosystému npm

Repozitář npm zůstává oblíbeným cílem pro útoky typu supply chain. V letech 2023–2025 bylo zaznamenáno několik kampaní proti vývojářům kryptoprojektů: falešné balíčky kradou přihlašovací údaje pro DeFi a NFT projekty. Skupina Lazarus Group, známá útoky na kryptoburzy, používá podobné techniky – dočasné účty a obfuskaci kódu.

Polymarket, jako platforma pro sázení na události (od voleb po sport), přitahuje velké hráče. Boty automatizují sázky na základě dat ze SDK, což je činí zranitelnými. Hlavní důvody úspěchu útoku: důvěra k npm, ukládání klíčů v kódu a absence verifikace balíčků.

Google AdInline article slot

Doporučení pro ochranu

Vývojáři botů by měli zavést vícevrstvou ochranu:

  • Používat správce tajných klíčů místo souborů .env.
  • Kontrolovat balíčky na známky obfuskace pomocí nástrojů jako Socket nebo Snyk.
  • Omezit přístupová práva na serverech.
  • Monitorovat authorized_keys a SSH logy.
  • Přejít na ověřená SDK s vestavěnou bezpečností.

Význam pro odvětví

Incident zdůrazňuje rizika v dodavatelských řetězcích softwaru. Pro kryptoprůmysl jde o varovný signál směřující k přísnějšímu auditování: ztráta klíčů vede okamžitě k výběru aktiv. Regulátoři mohou zavést povinnosti pro verifikaci balíčků, podobně jako EU DORA. Polymarket a podobné platformy posilují své SDK, ale vývojáři zůstávají slabým článkem. Celkový trend ukazuje na růst útoků na DeFi, kde denní objemy obchodování přesahují 100 miliard dolarů.

— Editorial Team

Advertisement 728x90

Číst dál