Zurück zur Startseite

Bösartiges npm-Paket stiehlt Schlüssel von Polymarket-Bots

Bösartiges sleek-pretty-Paket in npm zielt auf Polymarket-Bot-Entwickler ab, stiehlt API-Schlüssel und implantiert SSH-Backdoors. Der Angriff wird der Lazarus Group zugeschrieben. Analyse von Risiken, Konsequenzen und Schutzmaßnahmen für die Krypto-Branche.

Hacker greifen Polymarket-Bots über npm an: Bedrohungsdetails
Advertisement 728x90

Schädliches npm-Paket zielt auf Polymarket-Bot-Entwickler ab

Entwickler von Handelsbots für die Polymarket-Plattform wurden über ein bösartiges Paket namens 'sleek-pretty' im npm-Repository angegriffen. Als Logging-Bibliothek getarnt, stiehlt dieses Tool sensible Daten – darunter API-Schlüssel und private Wallet-Keys – und setzt Nutzer so erheblichen finanziellen Verlusten aus.

Angriffsmechanismus und Zielgruppe

Das Paket wurde am 10. April unter dem Konto probull02 im npm veröffentlicht. Sobald es in ein Projekt integriert wird, aktiviert es sich automatisch und umgeht dabei herkömmliche Sicherheitsprüfungen. Der Code ist stark verschleiert, was eine Bedrohungserkennung erschwert.

Der Angriff richtet sich gezielt gegen eine kleine Gruppe: Entwickler, die automatisierte Systeme für Polymarket erstellen – einen dezentralen Predictions-Marktplatz mit einem Handelsvolumen im Hundertmillionenbereich. Diese Bots basieren auf dem offiziellen SDK, bei dem Anmeldedaten typischerweise in .env-Dateien gespeichert sind.

Google AdInline article slot

Die schädliche Nutzlast:

  • Sammelt Systeminformationen: Betriebssystem, IP-Adresse, Benutzername.
  • Sendet gestohlene Daten an vom Angreifer kontrollierte Server.
  • Fügt unter Linux einen SSH-Schlüssel in authorized_keys ein, um dauerhaften Zugriff zu erhalten.
  • Durchsucht das Dateisystem nach .env-, JSON- und Dokumentdateien, wobei der Fokus speziell auf Artefakten des Polymarket-SDK liegt.

Auswirkungen auf die Betroffenen

Mit Zugriff auf diese Daten können Angreifer Trades über die API manipulieren und Gelder direkt aus Wallets abziehen. Bot-Konten verwalten oft mehrere Hunderttausend bis Millionen Dollar, wodurch das finanzielle Risiko extrem hoch ist.

Selbst das Deinstallieren des Pakets beseitigt die Bedrohung nicht, da die persistente SSH-Trojanerschnittstelle bestehen bleibt. Die Angreifer behalten die Kontrolle über den Server, unabhängig davon, ob Passwörter zurückgesetzt wurden.

Google AdInline article slot

Wichtigste Erkenntnisse:

  • Das Paket gibt vor, ein Logging-Tool zu sein, stiehlt aber Polymarket-Anmeldedaten.
  • Installiert eine SSH-Rücktür auf Linux-Systemen.
  • Setzt Taktiken ein, die mit der nordkoreanischen Lazarus-Gruppe in Verbindung stehen.
  • Nutzer sollten authorized_keys prüfen und alle Geheimnisse sofort zurücksetzen.
  • Dieser Vorfall verdeutlicht die Risiken in der Softwarelieferkette für Krypto-Handelssoftware.

Allgemeinere Bedrohungen im npm-Ökosystem

Das npm-Repository bleibt ein bevorzugtes Ziel für Angriffe auf die Softwarelieferkette. Zwischen 2023 und 2025 haben mehrere Kampagnen Kryptowährungs-Entwickler ins Visier genommen – gefälschte Pakete stahlen Anmeldedaten für DeFi- und NFT-Projekte. Die Lazarus-Gruppe, bekannt dafür, große Krypto-Börsen gehackt zu haben, nutzt häufig ähnliche Techniken: kurzlebige Konten und verschleierte Codeabschnitte.

Polymarket ermöglicht Wetten auf reale Ereignisse – von Wahlen bis hin zu Sportergebnissen – und zieht daher Trader mit hohem Volumen an. Bots automatisieren diese Wetten mithilfe von SDK-Daten, wodurch sie attraktive Ziele darstellen. Der Erfolg solcher Angriffe beruht auf blinder Vertrauensstellung gegenüber npm, hartkodierten Geheimnissen und fehlender Paketüberprüfung.

Google AdInline article slot

Sicherheitsempfehlungen

Bot-Entwickler sollten eine mehrschichtige Verteidigungsstrategie verfolgen:

  • Geheime Schlüssel statt in .env-Dateien in Secret-Managern speichern.
  • Pakete mit Tools wie Socket oder Snyk auf Verschleierung prüfen.
  • Serverzugriffsrechte beschränken.
  • authorized_keys und SSH-Logs regelmäßig überwachen.
  • Auf verifizierte SDKs mit integrierten Sicherheitsfunktionen migrieren.

Branchenweite Konsequenzen

Dieser Vorfall macht kritische Schwachstellen in der Softwarelieferkette deutlich. Für die Kryptoindustrie ist es ein Weckruf für strengere Audits – kompromittierte Schlüssel führen sofort zum Verlust von Vermögenswerten. Regulierungsbehörden könnten bald Paketüberprüfungsregeln einführen, ähnlich wie die EU-weiten DORA-Standards. Während Plattformen wie Polymarket ihre SDKs verbessern, bleiben Entwickler die schwächste Stelle. Der allgemeine Trend zeigt eine Zunahme von Angriffen auf DeFi, wo die täglichen Handelsvolumina über 100 Milliarden US-Dollar liegen.

— Editorial Team

Advertisement 728x90

Weiterlesen