แฮกเกอร์สร้างบอทเทรดปลอมสำหรับตลาดพยากรณ์ของ Polymarket บน GitHub บอทดังกล่าวถูกใช้เพื่อแพร่มัลแวร์ที่ขโมยข้อมูลรับรองตัวตน เช่น คีย์วอลเล็ตและรหัสผ่านเบราว์เซอร์
พบแพ็กเกจอันตราย 30 รายการกระจายอยู่ในบัญชี npm หลายบัญชี โดยมีรายงานว่ามุ่งเป้าไปที่นักพัฒนาและเทรดเดอร์ที่ใช้กลยุทธ์อัตโนมัติ มีนักพัฒนาอย่างน้อย 53 รายตกหลุมพรางก่อนที่จะถูกตรวจพบ

เมื่อวันที่ 1 กรกฎาคม 2026 บริษัทด้านความปลอดภัย SlowMist ได้ตรวจพบบอทเทรดปลอมที่อ้างว่าจะสร้างกำไรมหาศาลบน Polymarket แต่ที่จริงแล้วเป็นเพียงพาหนะในการแพร่มัลแวร์ SafeDep พบแพ็กเกจ npm อันตราย 30 รายการที่กระจายอยู่ในหลายบัญชีและเชื่อมโยงกับ GitHub repository ปลอมแห่งหนึ่ง
อาชญากรได้โพสต์ "polymarket-arbitrage-bot" ที่อ้างว่าสามารถทำกำไรได้มากกว่า $80,000 ต่อปี โดยได้รับ 36 ดาวและ 53 ฟอร์กก่อนที่การหลอกลวงจะถูกเปิดโปง นักพัฒนาทุกคนที่ดาวน์โหลดและติดตั้งมันได้รันมัลแวร์ดังกล่าว
ผู้โจมตีตระหนักดีว่าบอทเทรดจริงๆ นั้นสร้างรายได้มหาศาลบน Polymarket
บอทตัวหนึ่งที่ถูกวิเคราะห์โดย Dexter's Lab นักวิเคราะห์ตลาดพยากรณ์ สามารถเปลี่ยน $313 เป็น $414,000 ภายในเพียงหนึ่งเดือน ขณะที่อีกตัวหนึ่งที่วิเคราะห์โดยนักวิจัย Igor Mikerin ทำกำไรได้ $2.2 ล้านในสองเดือน ประวัติผลงานนี้ทำให้บอทปลอมดูน่าเชื่อถือสำหรับเทรดเดอร์ที่ต้องการกำไรง่ายๆ
คำแนะนำสำหรับบอทเทรดปลอมนี้รวมถึงการให้ผู้ใช้ใส่คีย์ส่วนตัว Polymarket ลงในไฟล์ .env ก่อนรัน "npm install" ระหว่างการติดตั้ง มัลแวร์ที่ซ่อนอยู่ใน dependency ชื่อ "clob-client-math" จะทำงาน
มัลแวร์ขโมยข้อมูลที่ละเอียดอ่อนจำนวนมาก ได้แก่:
นักวิจัยด้านความปลอดภัยเชื่อว่าแฮกเกอร์เกาหลีเหนืออยู่เบื้องหลังการโจมตีครั้งนี้ กลุ่มดังกล่าวกำลังดำเนินแคมเปญขนาดใหญ่ที่เรียกว่า "Contagious Trader" ซึ่งมุ่งเป้าไปที่นักพัฒนาคริปโต
Cryptopolitan รายงานในเดือนมีนาคมว่าแฮกเกอร์เข้าควบคุมบัญชีของนักพัฒนา Axios และเผยแพร่แพ็กเกจ npm อันตราย ในเดือนพฤษภาคม บัญชีที่ถูกโจมตีหนึ่งบัญชีถูกใช้เพื่อเข้าควบคุม 323 แพ็กเกจในเวลาไม่ถึง 30 นาที
ผู้ใช้ Polymarket ยังเผชิญกับการโจมตีอื่นๆ ในปีนี้ เช่น ในช่วงปลายเดือนมิถุนายน การหลอกลวงฟิชชิงดูดเงิน $2.94 ล้านจากอย่างน้อย 11 บัญชี
SafeDep ระบุว่าคอมพิวเตอร์ใดก็ตามที่รัน "npm install" บนบอทปลอมควรถือว่าถูกแฮกแล้ว บุคคลดังกล่าวได้รับคำแนะนำให้เปลี่ยนคีย์วอลเล็ตคริปโตทั้งหมดทันที เปลี่ยนรหัสผ่านทุกรายการที่บันทึกในเบราว์เซอร์ และเปลี่ยน AWS credentials, SSH keys และโทเค็น API ทั้งหมด
เทรดเดอร์ยังได้รับคำแนะนำให้ตรวจสอบไฟล์ npm lock ของตนเพื่อหาแพ็กเกจอันตราย 30 รายการ โดยค้นหา dependencies ที่ปรากฏใน package.json แต่ไม่เคยถูกใช้ในโค้ด ไฟล์ "package.json" ของ repository ในการโจมตีครั้งนี้ระบุ dependencies สี่รายการ แต่มีเพียงสามรายการเท่านั้น (Polymarket SDK อย่างเป็นทางการ, ethers และ dotenv) ที่ถูกต้องตามกฎหมาย รายการที่สี่คือ clob-client-math ซึ่งซ่อนมัลแวร์ไว้ ไม่เคยถูก import ที่ใดในซอร์สโค้ดของบอทเลย
การป้องกันที่ดีที่สุดคือการตรวจสอบว่าแพ็กเกจมาจากบัญชีใหม่ที่ไม่มีประวัติการเผยแพร่หรือไม่ เนื่องจากแพ็กเกจปลอมทั้งหมดถูกเผยแพร่โดยบัญชีที่สร้างใหม่
อย่าแค่อ่านข่าวคริปโต แต่จงทำความเข้าใจมัน สมัครรับจดหมายข่าวของเรา ฟรี


