ハッカーはGitHub上でPolymarketの予測市場向けの偽の取引ボットを作成した。このボットは、ウォレットキーなどの認証情報を盗むマルウェアを拡散するために使用され、ハッカーはGitHub上でPolymarketの予測市場向けの偽の取引ボットを作成した。このボットは、ウォレットキーなどの認証情報を盗むマルウェアを拡散するために使用され、

攻撃者はnpmパッケージを通じてPolymarketトレーディングボットユーザーとDeFi開発者にインフォスティーラーを配布

2026/07/01 22:53
8 分で読めます
本コンテンツに関するご意見・ご感想は、crypto.news@mexc.comまでご連絡ください。

ハッカーがGitHub上でPolymarketの予測市場向けの偽トレーディングボットを作成した。このボットは、ウォレットキーやブラウザのパスワードなどの認証情報を盗むマルウェアを拡散するために使用された。

複数のnpmアカウントにわたって30個の悪意のあるパッケージが発見され、自動化戦略を使用する開発者やトレーダーを標的にしていたと報告されている。少なくとも53人の開発者が、発覚前にこの罠にかかった。

Attackers deliver infostealer to Polymarket trading bot users, DeFi devs through npm packages

偽ボットはどのようにして53人以上の開発者に広まったのか?

2026年7月1日、セキュリティ企業SlowMistがPolymarketで大きな利益を約束しながら実際にはマルウェアの配布手段に過ぎない偽トレーディングボットを発見した。SafeDepは複数のアカウントに広がり、一つの偽GitHubリポジトリに紐づいた30個の悪意のあるnpmパッケージを発見した。

犯罪者たちは年間8万ドル以上の利益を生むと主張する「polymarket-arbitrage-bot」を公開した。詐欺が発覚する前に36のスターと53のフォークを獲得した。ダウンロードしてインストールしたすべての開発者がマルウェアを実行することになった。

攻撃者たちは、実際のトレーディングボットがPolymarketで莫大な利益を上げているという事実を把握していた。

予測市場アナリストのDexter's Labが分析したあるボットは、わずか1か月で313ドルを41万4,000ドルに変え、研究者のIgor Mikerinが分析した別のボットは2か月で220万ドルを稼いだ。この実績が、簡単な利益を追い求めるトレーダーにとって偽ボットを信憑性のあるものに見せた。

この偽トレーディングボットの手順には、「npm install」を実行する前にユーザーがPolymarketの秘密鍵を.envファイルに入力することが含まれていた。インストール中に、「clob-client-math」と呼ばれる依存関係の中に隠されたマルウェアが実行される仕組みだった。

このマルウェアは多くの機密データを盗む。その内容は以下の通りだ: 

  • MetaMask、Phantom、Coinbase Wallet、TrustWalletなどの暗号資産ウォレットデータ。
  • Chrome、Firefox、Braveの保存済みパスワードやCookieなどのブラウザデータ。
  • SSHキー、AWSログイン情報、npmおよびPyPIトークン。
  • Bitwarden、KeePass、1Passwordなどのパスワードマネージャーのデータ。
  • 秘密鍵およびAPIトークン。

偽ボットをダウンロードした場合はどうすればよいか?

セキュリティ研究者たちは、この攻撃の背後に北朝鮮のハッカーがいると考えている。このグループは暗号資産開発者を標的にした「Contagious Trader」と呼ばれる大規模なキャンペーンを展開している。

Cryptopolitanは3月に、ハッカーがAxios開発者のアカウントを乗っ取り、悪意のあるnpmパッケージを公開したと報告した。5月には、侵害された1つのアカウントが30分以内に323個のパッケージを乗っ取るために使用された。

Polymarketのユーザーは今年、他の攻撃にも直面しており、6月下旬にはフィッシング詐欺によって少なくとも11のアカウントから294万ドルが流出した。

SafeDepは、偽ボットで「npm install」を実行したコンピューターはハッキングされたものとして扱うべきだと述べている。該当する人は、すべての暗号資産ウォレットキーを直ちにローテーションし、ブラウザに保存されているすべてのパスワードを変更し、すべてのAWS認証情報、SSHキー、APIトークンを置き換えることが推奨される。

トレーダーはまた、package.jsonには記載されているがコード内で一切使用されていない依存関係を探すことで、npmロックファイル内の30個の悪意のあるパッケージを確認することが推奨される。今回の攻撃でリポジトリの「package.json」には4つの依存関係が記載されていたが、正規のものは3つ(公式のPolymarket SDK、ethers、dotenv)のみだった。マルウェアを隠していた4つ目のclob-client-mathは、ボットのソースコードのどこにもインポートされていなかった。

最善の防御策は、パッケージが公開履歴のない新しいアカウントから来ていないか確認することだ。偽パッケージはすべて、作成されたばかりのアカウントによって公開されていた。

暗号資産ニュースを読むだけでなく、理解しよう。ニュースレターを購読しよう。無料だ。

市場の機会
DeFi ロゴ
DeFi価格(DEFI)
$0.0001844
$0.0001844$0.0001844
+0.21%
USD
DeFi (DEFI) ライブ価格チャート

World Cup Combo: Aim for 200x

World Cup Combo: Aim for 200xWorld Cup Combo: Aim for 200x

Combine up to 20 World Cup matches in one order

免責事項:このサイトに転載されている記事は、公開プラットフォームから引用されており、情報提供のみを目的としています。MEXCの見解を必ずしも反映するものではありません。すべての権利は原著者に帰属します。コンテンツが第三者の権利を侵害していると思われる場合は、削除を依頼するために crypto.news@mexc.com までご連絡ください。MEXCは、コンテンツの正確性、完全性、適時性について一切保証せず、提供された情報に基づいて行われたいかなる行動についても責任を負いません。本コンテンツは、財務、法律、その他の専門的なアドバイスを構成するものではなく、MEXCによる推奨または支持と見なされるべきではありません。