Powrót do strony głównej

Złośliwy pakiet npm kradnie klucze botów Polymarket

Złośliwy pakiet sleek-pretty w npm celuje w deweloperów botów Polymarket, kradnąc klucze API i wdrażając backdoory SSH. Atak powiązany z Lazarus Group. Analiza ryzyk, konsekwencji i środków ochrony dla branży kryptowalutowej.

Hakerzy zaatakowali boty Polymarket przez npm: szczegóły zagrożenia
Advertisement 728x90

Wredny pakiet w npm zagraża botom Polymarket – jak się chronić?

Deweloperzy tworzący boty handlowe dla platformy Polymarket padli ofiarą ataku za pośrednictwem złośliwego pakietu 'sleek-pretty' w repozytorium npm. Narzędzie, podszywające się pod bibliotekę logującą, kradnie poufne dane — w tym klucze API i prywatne klucze portfeli — stwarzając ryzyko utraty znacznych środków.

Mechanizm ataku i cele

Pakiet pojawił się w npm 10 kwietnia na koncie probull02. Po dodaniu do projektu aktywuje się automatycznie, omijając standardowe kontrole. Kod jest zamiętowany, co utrudnia wykrycie zagrożenia.

Atak skierowany jest na wąską grupę: twórców systemów automatyzujących handel na Polymarket — zdecentralizowanej platformie rynków predykcyjnych o obrotach setek milionów dolarów. Boty te korzystają z oficjalnego SDK, w którym klucze są przechowywane w plikach .env.

Google AdInline article slot

Złośliwy kod:

  • Zbiera informacje systemowe: system operacyjny, adres IP, nazwę użytkownika.
  • Wysyła dane na serwer hakerów.
  • W systemach Linux wprowadza klucz SSH do authorized_keys, zapewniając stały dostęp.
  • Skanuje system plików w poszukiwaniu plików .env, JSON oraz dokumentów, koncentrując się na plikach SDK Polymarket.

Konsekwencje dla ofiar

Uzyskane dane pozwalają napastnikom manipulować zleceniami przez API i wyprowadzać środki bezpośrednio z portfeli. Konta botów często zawierają od kilkuset tysięcy do milionów dolarów, co nasila ryzyko finansowe.

Nawet usunięcie pakietu nie likwiduje zagrożenia ze względu na trwały dostęp SSH. Napastnicy zachowują kontrolę nad serwerem, niezależnie od zmiany haseł.

Google AdInline article slot

Na co warto zwrócić uwagę:

  • Pakiet podszywa się pod bibliotekę logującą, ale kradnie klucze Polymarket.
  • Wprowadza backdoor SSH w systemach Linux.
  • Jest powiązany z taktykami północnokoreańskiej grupy Lazarus.
  • Zaleca się sprawdzenie pliku authorized_keys i wymianę wszystkich kluczy.
  • Atak dotyczy łańcucha dostaw oprogramowania do handlu kryptowalutami.

Kontekst zagrożeń w ekosystemie npm

Repozytorium npm pozostaje popularnym celem ataków typu supply chain. W latach 2023–2025 odnotowano kilka kampanii przeciwko deweloperom kryptowalutowym: fałszywe pakiety kradną credentials do projektów DeFi i NFT. Grupa Lazarus, znana z ataków na giełdy krypto, stosuje podobne metody — tymczasowe konta i zamiatanie kodu.

Polymarket, jako platforma zakładów na wydarzenia (od wyborów po sport), przyciąga dużych graczy. Boty automatyzują zakłady, opierając się na danych z SDK, co czyni je wrażliwymi. Powody sukcesu ataku: zaufanie do npm, przechowywanie kluczy w kodzie oraz brak weryfikacji pakietów.

Google AdInline article slot

Rekomendacje dotyczące ochrony

Twórcy botów powinni wdrożyć wielopoziomową ochronę:

  • Używać menedżerów sekretów zamiast plików .env.
  • Sprawdzać pakiety pod kątem zamiatania kodu narzędziami takimi jak Socket lub Snyk.
  • Ograniczać uprawnienia dostępu na serwerach.
  • Monitorować pliki authorized_keys i logi SSH.
  • Przechodzić na zweryfikowane SDK z wbudowaną ochroną.

Znaczenie dla branży

Incident podkreśla ryzyko związane z łańcuchem dostaw oprogramowania. Dla branży kryptowalutowej jest to sygnał do wzmocnienia audytów: utrata kluczy prowadzi do natychmiastowego wyprowadzenia aktywów. Regulatorzy mogą wprowadzić wymagania weryfikacji pakietów, podobnie jak UE w ramach DORA. Polymarket i podobne platformy wzmocnią swoje SDK, ale deweloperzy pozostają najsłabszym ogniwnem. Ogólny trend to wzrost ataków na DeFi, gdzie dzienne obroty przekraczają 100 miliardów dolarów.

— Editorial Team

Advertisement 728x90

Czytaj dalej