Ставите на Polymarket? Ваши финансы в опасности. Хакеры подложили «свинью» тем, кто запускает торговых ботов
NewsMakerНа кону стоят суммы, которые заставляют забыть о правилах приличия.
На npm обнаружили вредоносный пакет, который маскируется под безобидный инструмент для логирования, но на деле открывает доступ к криптокошелькам и серверам разработчиков. Атака нацелена на узкую аудиторию — авторов торговых ботов для платформы Polymarket, где крутятся сотни миллионов долларов.
Пакет под названием «sleek-pretty» версии 1.0.0 загрузили в репозиторий npm 10 апреля с нового аккаунта probull02. После подключения в проекте код запускается сразу, без этапа установки, и выполняет сразу несколько вредоносных действий. Чтобы скрыть логику, злоумышленники запутали JavaScript-код, и специалистам пришлось сначала его расшифровать.
Основная цель — разработчики, которые пишут автоматические боты для торговли на Polymarket. Такие боты работают через официальный SDK и обычно хранят ключи доступа и приватные ключи кошельков в файлах .env. Именно эти данные и ищет вредоносный код. Причём атака учитывает структуру проектов и целенаправленно ищет конкретные файлы SDK, а не просто перебирает содержимое каталогов.
После запуска пакет собирает информацию о системе, включая тип операционной системы, IP-адрес и имя пользователя, и отправляет данные на сервер управления. На Linux дополнительно происходит внедрение постоянного доступа — в файл authorized_keys добавляется SSH-ключ злоумышленника. Такой доступ сохраняется даже после удаления пакета и смены паролей.
На npm обнаружили вредоносный пакет, который маскируется под безобидный инструмент для логирования, но на деле открывает доступ к криптокошелькам и серверам разработчиков. Атака нацелена на узкую аудиторию — авторов торговых ботов для платформы Polymarket, где крутятся сотни миллионов долларов.
Пакет под названием «sleek-pretty» версии 1.0.0 загрузили в репозиторий npm 10 апреля с нового аккаунта probull02. После подключения в проекте код запускается сразу, без этапа установки, и выполняет сразу несколько вредоносных действий. Чтобы скрыть логику, злоумышленники запутали JavaScript-код, и специалистам пришлось сначала его расшифровать.
Основная цель — разработчики, которые пишут автоматические боты для торговли на Polymarket. Такие боты работают через официальный SDK и обычно хранят ключи доступа и приватные ключи кошельков в файлах .env. Именно эти данные и ищет вредоносный код. Причём атака учитывает структуру проектов и целенаправленно ищет конкретные файлы SDK, а не просто перебирает содержимое каталогов.
После запуска пакет собирает информацию о системе, включая тип операционной системы, IP-адрес и имя пользователя, и отправляет данные на сервер управления. На Linux дополнительно происходит внедрение постоянного доступа — в файл authorized_keys добавляется SSH-ключ злоумышленника. Такой доступ сохраняется даже после удаления пакета и смены паролей.