恶意npm包瞄准Polymarket交易机器人开发者
Polymarket平台的交易机器人开发者近日遭到一个名为'sleek-pretty'的恶意npm包攻击。该工具伪装成日志记录库,实则窃取包括API密钥和钱包私钥在内的敏感信息,使用户面临重大财务损失风险。
攻击机制与目标群体
该恶意包于4月10日由账号probull02发布至npm仓库。一旦被集成到项目中,便会自动激活,绕过常规安全检测。其代码经过高度混淆处理,极大增加了威胁识别难度。
此次攻击针对的是特定人群:即为Polymarket(一个交易量达数亿美元的去中心化预测市场平台)开发自动化系统的程序员。这些交易机器人依赖官方SDK运行,而认证凭据通常以明文形式存储在.env文件中。
恶意载荷功能包括:
- 收集系统信息:操作系统、IP地址、用户名等;
- 将窃取的数据发送至攻击者控制的服务器;
- 在Linux系统上向authorized_keys注入SSH密钥,实现持久化访问;
- 扫描文件系统中的.env、JSON及文档类文件,重点定位Polymarket SDK相关资产。
对受害者的实际影响
攻击者一旦获取上述数据,即可通过API操控交易,并直接清空钱包资金。由于机器人账户常持有数十万至数百万美元资产,潜在经济损失极为严重。
即使卸载该恶意包也无法彻底清除威胁,因其植入的SSH后门具有持久性。即便重置密码,攻击者仍可维持对服务器的控制权。
核心要点:
- 该包伪装成日志工具,实则窃取Polymarket登录凭证;
- 在Linux系统部署SSH后门;
- 使用的手法与朝鲜Lazarus黑客组织高度关联;
- 用户应立即检查authorized_keys并轮换所有密钥;
- 此事件凸显了加密交易软件供应链的安全隐患。
npm生态系统的整体威胁态势
npm注册中心仍是供应链攻击的主要目标。2023至2025年间,已发生多起针对加密货币开发者的攻击事件——虚假包频繁窃取DeFi和NFT项目的认证凭据。以入侵多家大型加密交易所闻名的Lazarus组织,惯用类似战术:使用短期账户并进行代码混淆。
Polymarket允许用户对现实事件(如选举、体育赛事)下注,吸引了大量高频交易者。机器人利用SDK数据实现自动投注,因此成为高价值攻击目标。此类攻击得以成功,主要源于开发者对npm包的盲目信任、硬编码密钥以及缺乏包验证流程。
安全防护建议
机器人开发者应采取多层次防御策略:
- 使用密钥管理服务替代.env文件存储;
- 借助Socket或Snyk等工具扫描包内是否存在混淆代码;
- 严格限制服务器访问权限;
- 定期监控authorized_keys和SSH日志;
- 迁移至具备内置安全机制的官方认证SDK。
行业层面的深远影响
本次事件暴露了软件供应链中的关键漏洞。对于加密行业而言,这是一次警示:密钥一旦失守,资产将瞬间被盗。监管机构可能很快会出台类似欧盟DORA标准的包验证法规。尽管Polymarket等平台正在加强SDK安全性,但开发者仍是整个链条中最薄弱的一环。更广泛的趋势显示,针对DeFi领域的攻击日益增多,其日均交易额已超千亿美元。
— Editorial Team
暂无评论。