返回首页

恶意 npm 包窃取 Polymarket 机器人密钥

npm 中的恶意 sleek-pretty 包针对 Polymarket 机器人开发者,窃取 API 密钥并植入 SSH 后门。该攻击与 Lazarus Group 有关。加密行业的风险、后果和保护措施分析。

黑客通过 npm 攻击 Polymarket 机器人:威胁详情
Advertisement 728x90

恶意npm包瞄准Polymarket交易机器人开发者

Polymarket平台的交易机器人开发者近日遭到一个名为'sleek-pretty'的恶意npm包攻击。该工具伪装成日志记录库,实则窃取包括API密钥和钱包私钥在内的敏感信息,使用户面临重大财务损失风险。

攻击机制与目标群体

该恶意包于4月10日由账号probull02发布至npm仓库。一旦被集成到项目中,便会自动激活,绕过常规安全检测。其代码经过高度混淆处理,极大增加了威胁识别难度。

此次攻击针对的是特定人群:即为Polymarket(一个交易量达数亿美元的去中心化预测市场平台)开发自动化系统的程序员。这些交易机器人依赖官方SDK运行,而认证凭据通常以明文形式存储在.env文件中。

Google AdInline article slot

恶意载荷功能包括:

  • 收集系统信息:操作系统、IP地址、用户名等;
  • 将窃取的数据发送至攻击者控制的服务器;
  • 在Linux系统上向authorized_keys注入SSH密钥,实现持久化访问;
  • 扫描文件系统中的.env、JSON及文档类文件,重点定位Polymarket SDK相关资产。

对受害者的实际影响

攻击者一旦获取上述数据,即可通过API操控交易,并直接清空钱包资金。由于机器人账户常持有数十万至数百万美元资产,潜在经济损失极为严重。

即使卸载该恶意包也无法彻底清除威胁,因其植入的SSH后门具有持久性。即便重置密码,攻击者仍可维持对服务器的控制权。

Google AdInline article slot

核心要点:

  • 该包伪装成日志工具,实则窃取Polymarket登录凭证;
  • 在Linux系统部署SSH后门;
  • 使用的手法与朝鲜Lazarus黑客组织高度关联;
  • 用户应立即检查authorized_keys并轮换所有密钥;
  • 此事件凸显了加密交易软件供应链的安全隐患。

npm生态系统的整体威胁态势

npm注册中心仍是供应链攻击的主要目标。2023至2025年间,已发生多起针对加密货币开发者的攻击事件——虚假包频繁窃取DeFi和NFT项目的认证凭据。以入侵多家大型加密交易所闻名的Lazarus组织,惯用类似战术:使用短期账户并进行代码混淆。

Polymarket允许用户对现实事件(如选举、体育赛事)下注,吸引了大量高频交易者。机器人利用SDK数据实现自动投注,因此成为高价值攻击目标。此类攻击得以成功,主要源于开发者对npm包的盲目信任、硬编码密钥以及缺乏包验证流程。

Google AdInline article slot

安全防护建议

机器人开发者应采取多层次防御策略:

  • 使用密钥管理服务替代.env文件存储;
  • 借助Socket或Snyk等工具扫描包内是否存在混淆代码;
  • 严格限制服务器访问权限;
  • 定期监控authorized_keys和SSH日志;
  • 迁移至具备内置安全机制的官方认证SDK。

行业层面的深远影响

本次事件暴露了软件供应链中的关键漏洞。对于加密行业而言,这是一次警示:密钥一旦失守,资产将瞬间被盗。监管机构可能很快会出台类似欧盟DORA标准的包验证法规。尽管Polymarket等平台正在加强SDK安全性,但开发者仍是整个链条中最薄弱的一环。更广泛的趋势显示,针对DeFi领域的攻击日益增多,其日均交易额已超千亿美元。

— Editorial Team

Advertisement 728x90

继续阅读