Хакеры создали поддельного торгового бота для рынков прогнозов Polymarket на GitHub. Бот использовался для распространения вредоносного ПО, которое похищает учётные данные, такие как ключи кошельков и пароли браузера.
В нескольких npm-аккаунтах было обнаружено 30 вредоносных пакетов, предположительно нацеленных на разработчиков и трейдеров, использующих автоматизированные стратегии. Не менее 53 разработчиков попались в ловушку до того, как она была выявлена.

1 июля 2026 года компания по безопасности SlowMist выявила поддельного торгового бота, который обещал большую прибыль на Polymarket, но на самом деле являлся лишь инструментом для распространения вредоносного ПО. SafeDep обнаружил 30 вредоносных npm-пакетов, распространённых по нескольким аккаунтам и связанных с одним поддельным репозиторием на GitHub.
Злоумышленники опубликовали «polymarket-arbitrage-bot», который якобы приносил более 80 000$ в год. До разоблачения мошенничества бот набрал 36 звёзд и 53 форка. Каждый разработчик, скачавший и установивший его, запустил вредоносное ПО.
Злоумышленники знали о том, что реальные торговые боты зарабатывали огромные деньги на Polymarket.
Один бот, описанный аналитиком рынков прогнозов Dexter's Lab, превратил 313$ в 414 000$ всего за один месяц, тогда как другой, проанализированный исследователем Игорем Микериным, заработал 2,2 млн$ за два месяца. Такая репутация делала поддельного бота убедительным для трейдеров, гонящихся за лёгкой прибылью.
Инструкции к этому поддельному торговому боту предписывали пользователям вводить свой приватный ключ Polymarket в файл .env перед запуском «npm install». В процессе установки запускалось вредоносное ПО, скрытое внутри зависимости под названием «clob-client-math».
Вредоносное ПО похищает большой объём конфиденциальных данных, в том числе:
Исследователи в области безопасности считают, что за этой атакой стоят северокорейские хакеры. Группа проводит масштабную кампанию под названием «Contagious Trader», направленную против крипто-разработчиков.
Cryptopolitan сообщал в марте, что хакеры захватили аккаунт разработчика Axios и опубликовали вредоносные npm-пакеты. В мае один скомпрометированный аккаунт был использован для захвата 323 пакетов менее чем за 30 минут.
Пользователи Polymarket также столкнулись с другими атаками в этом году: в конце июня фишинговая мошенническая схема опустошила не менее 11 аккаунтов на сумму 2,94 млн$.
SafeDep утверждает, что любой компьютер, на котором был запущен «npm install» поддельного бота, следует считать взломанным. Таким пользователям рекомендуется немедленно сменить все ключи криптокошельков, изменить все пароли, сохранённые в браузере, а также заменить все учётные данные AWS, SSH-ключи и API-токены.
Трейдерам также рекомендуется проверить npm lock-файлы на наличие 30 вредоносных пакетов, выявив зависимости, которые присутствуют в package.json, но нигде не используются в коде. В данной атаке файл «package.json» репозитория содержал четыре зависимости, однако только три из них (официальный Polymarket SDK, ethers и dotenv) были легитимными. Четвёртая — clob-client-math, скрывавшая вредоносное ПО, — нигде не импортировалась в исходном коде бота.
Лучшая защита — проверять, не опубликованы ли пакеты новыми аккаунтами без истории публикаций, поскольку все поддельные пакеты были опубликованы совершенно новыми аккаунтами.
Не просто читайте крипто-новости. Понимайте их. Подпишитесь на нашу рассылку. Это бесплатно.


