Хакеры создали поддельного торгового бота для рынков прогнозов Polymarket и разместили его на GitHub. Бот использовался для распространения вредоносного ПО, которое крадёт учётные данные, включая ключи кошельков и пароли браузеров.
В нескольких npm-аккаунтах было обнаружено 30 вредоносных пакетов, предположительно нацеленных на разработчиков и трейдеров, использующих автоматизированные стратегии. По меньшей мере 53 разработчика попались в ловушку, прежде чем она была обнаружена.
1 июля 2026 года компания по обеспечению безопасности SlowMist обнаружила поддельного торгового бота, который обещал большую прибыль на Polymarket, но на самом деле был инструментом распространения вредоносного ПО. В SafeDep обнаружили 30 вредоносных npm-пакетов, распространённых по нескольким учётным записям и связанных с одним поддельным репозиторием GitHub.
Торговый бот преступников «polymarket-arbitrage-bot» должен был приносить более $80,000 в год. До разоблачения он получил 36 звезд и 53 форка. Каждый разработчик, скачавший и установивший его, фактически запускал вредоносное ПО.
Инструкции для этого поддельного торгового бота включали в себя требование поместить свой приватный ключ Polymarket в файл .env перед запуском команды «npm install». Во время установки запускалось вредоносное ПО, скрытое под названием «clob-client-math».
Вредоносная программа крадёт множество конфиденциальных данных, включая:
- Данные криптокошельков MetaMask, Phantom, Coinbase Wallet, TrustWallet и других.
- Данные браузеров — сохранённые пароли и cookie из Chrome, Firefox и Brave.
- Ключи SSH, данные для входа в AWS, токены npm и PyPI.
- Данные из менеджеров паролей, таких как Bitwarden, KeePass и 1Password.
- Приватные ключи и токены API.
В SafeDep предупредили, что любой компьютер, на котором была запущена команда «npm install» на поддельном боте, следует считать взломанным. Их пользователям рекомендуется немедленно сменить все ключи криптокошельков, изменить все пароли, хранящиеся в браузере, и заменить все учётные данные AWS, ключи SSH и токены API.
Трейдерам также рекомендуется проверить свои файлы блокировки npm на наличие 30 вредоносных пакетов, которые указаны в package.json.

Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.