ハッカーがGitHub上でPolymarketの予測市場向けの偽トレーディングボットを作成した。このボットは、ウォレットキーやブラウザのパスワードなどの認証情報を盗むマルウェアを拡散するために使用された。
複数のnpmアカウントにわたって30個の悪意のあるパッケージが発見され、自動化戦略を使用する開発者やトレーダーを標的にしていたと報告されている。少なくとも53人の開発者が、発覚前にこの罠にかかった。

2026年7月1日、セキュリティ企業SlowMistがPolymarketで大きな利益を約束しながら実際にはマルウェアの配布手段に過ぎない偽トレーディングボットを発見した。SafeDepは複数のアカウントに広がり、一つの偽GitHubリポジトリに紐づいた30個の悪意のあるnpmパッケージを発見した。
犯罪者たちは年間8万ドル以上の利益を生むと主張する「polymarket-arbitrage-bot」を公開した。詐欺が発覚する前に36のスターと53のフォークを獲得した。ダウンロードしてインストールしたすべての開発者がマルウェアを実行することになった。
攻撃者たちは、実際のトレーディングボットがPolymarketで莫大な利益を上げているという事実を把握していた。
予測市場アナリストのDexter's Labが分析したあるボットは、わずか1か月で313ドルを41万4,000ドルに変え、研究者のIgor Mikerinが分析した別のボットは2か月で220万ドルを稼いだ。この実績が、簡単な利益を追い求めるトレーダーにとって偽ボットを信憑性のあるものに見せた。
この偽トレーディングボットの手順には、「npm install」を実行する前にユーザーがPolymarketの秘密鍵を.envファイルに入力することが含まれていた。インストール中に、「clob-client-math」と呼ばれる依存関係の中に隠されたマルウェアが実行される仕組みだった。
このマルウェアは多くの機密データを盗む。その内容は以下の通りだ:
セキュリティ研究者たちは、この攻撃の背後に北朝鮮のハッカーがいると考えている。このグループは暗号資産開発者を標的にした「Contagious Trader」と呼ばれる大規模なキャンペーンを展開している。
Cryptopolitanは3月に、ハッカーがAxios開発者のアカウントを乗っ取り、悪意のあるnpmパッケージを公開したと報告した。5月には、侵害された1つのアカウントが30分以内に323個のパッケージを乗っ取るために使用された。
Polymarketのユーザーは今年、他の攻撃にも直面しており、6月下旬にはフィッシング詐欺によって少なくとも11のアカウントから294万ドルが流出した。
SafeDepは、偽ボットで「npm install」を実行したコンピューターはハッキングされたものとして扱うべきだと述べている。該当する人は、すべての暗号資産ウォレットキーを直ちにローテーションし、ブラウザに保存されているすべてのパスワードを変更し、すべてのAWS認証情報、SSHキー、APIトークンを置き換えることが推奨される。
トレーダーはまた、package.jsonには記載されているがコード内で一切使用されていない依存関係を探すことで、npmロックファイル内の30個の悪意のあるパッケージを確認することが推奨される。今回の攻撃でリポジトリの「package.json」には4つの依存関係が記載されていたが、正規のものは3つ(公式のPolymarket SDK、ethers、dotenv)のみだった。マルウェアを隠していた4つ目のclob-client-mathは、ボットのソースコードのどこにもインポートされていなかった。
最善の防御策は、パッケージが公開履歴のない新しいアカウントから来ていないか確認することだ。偽パッケージはすべて、作成されたばかりのアカウントによって公開されていた。
暗号資産ニュースを読むだけでなく、理解しよう。ニュースレターを購読しよう。無料だ。


